Android SMS Selfmite a dangerous vector http://ow.ly/F5j7U http://vintegris.info/sms-selfmite-010101/
Marcelo Lozano
PUBLISHER GENERAL IT CONNECT
translated by Federico Dilla
Lluis Martinez V. synths Security Analyst Vintegris 150x150 Android SMS Selfmite: a dangerous vector
Luis V. Martinez synths Security Analyst - Vintegris
SMS Selfmite for Android has returned, in this new version of malware could see code modifications that make it potentially more dangerous than its predecessor and with greater capacity to become a global pandemic.
The propagation method starts with a contact with users receiving SMS messages invited to download an application that supposedly leaves a great added value for free, where a strategically shortened link is included.
Users who fall with this ruse, down and install the APK file offered is nothing but an application "with Trojan inclusive" which has injected the worm that infected the device used.
The vector connects to a remote server and download a file configures the application to spread infection to all contacts of the victim.
Potential victims continue to receive SMS messages from the infected malicious phone until the operator detect and block these messages or the owner of the infected phone to delete the malware.
Users are routed to an application on Google Play that after clicking on the icon of the Trojan installed, or by clicking on the icons Selfmite.b placed on their desks that redirect him to websites unsolicited subscription.
This malicious application has the ability to vary the content according to IP addresses that navigate the victim, which allows cybercriminals address their victims from different countries to malicious websites that are most convenient.
The spread of the worm was momentarily halted, thanks to the owner of the service URL shortening Go Daddy, used by cybercriminals, who defused the malicious links involved. However these links can be easily changed and could revive the malicious application by changing the configuration file download.
By Luis V. Martinez synths Security Analyst - Vintegris
SMS Selfmite para Android un vector peligroso http://ow.ly/F5j7U
Luis V. Sintes Martinez Analista de Seguridad – Vintegris
SMS Selfmite para Android ha regresado, dentro de esta nueva versión de malware pudimos ver modificaciones de código que lo hacen potencialmente más peligroso que su versión anterior y con mayor capacidad para volverse una pandemia global.
El método de propagación se inicia con un contacto con los usuarios que reciben mensajes SMS que invita a bajar una aplicación que supuestamente deja un gran valor agregado en forma gratuita, en donde se incluye un enlace estratégicamente acortado.
Los usuarios que caen con esta artimaña, bajan e instalan el archivo APK ofrecido que no es otra cosa que una aplicación “con troyano incluido” la cual tiene inyectado el código del gusano que infectó el dispositivo, utilizado.
El vector se conecta con un servidor remoto y descarga un archivo configura la aplicación para propagar la infección a todos los contactos de la víctima.
Las posibles víctimas seguirán recibiendo mensajes SMS maliciosos desde el teléfono infectado hasta que el operador lo detecte y bloquee estos mensajes o el propietario del teléfono infectado elimine el malware.
Los usuarios son encaminados a una aplicación en Google Play que después de hacer clic en el icono del troyano instalado, o al hacer clic en los iconos que Selfmite.b coloca en sus escritorios que lo redirigen a sitios web de suscripción no solicitados.
Esta aplicación maliciosa tiene la capacidad de variar el contenido según las direcciones IP en las que navegue la víctima, lo que les permite a los cibercriminales direccionar a sus víctimas de diferentes países a los sitios web maliciosos que les resulten más convenientes.
La propagación del gusano ha sido momentáneamente detenida, gracias a que el titular del servicio de acortamiento de las URL Go Daddy, utilizadas por los cibercriminales, que desactivó los enlaces maliciosos involucrados. No obstante dichos los enlaces pueden ser cambiados fácilmente y podrían reactivar a la aplicación maliciosa mediante un cambio en el archivo de configuración de descarga.
