traducido por Federico Dilla
MS Selfmite for Android has returned, in this new version of malware could see code modifications that make it potentially more dangerous than its predecessor and with greater capacity to become a global pandemic.
The propagation method starts with a contact with users receiving SMS messages invited to download an application that allegedly leaves a great added value for free, where a strategically shortened link is included.
Users who fall with this ruse, down and install the APK file offered is nothing but an application "with Trojan inclusive" which has injected the worm that infected the device used.
The vector connects to a remote server and download a file configures the application to spread infection to all contacts of the victim.
Potential victims continue to receive SMS messages from the infected malicious phone until the operator detect and block these messages or the owner of the infected phone to delete the malware.
Users are routed to an application on Google Play that after clicking on the icon of the Trojan installed, or by clicking on the icons Selfmite.b placed on their desks that redirect him to websites unsolicited subscription.
This malicious application has the ability to vary the content according to IP addresses that navigate the victim, which allows cybercriminals address their victims from different countries to malicious websites that are most convenient.
The spread of the worm was momentarily halted, thanks to the owner of the service URL shortening Go Daddy, used by cybercriminals, who defused the malicious links involved. However these links can be easily changed and could revive the malicious application by changing the configuration file download.
By Luis V. Martinez synths Security Analyst - Vintegris
MS Selfmite para Android ha regresado, dentro de esta nueva versión de malware pudimos ver modificaciones de código que lo hacen potencialmente más peligroso que su versión anterior y con mayor capacidad para volverse una pandemia global.
El método de propagación se inicia con un contacto con los usuarios que reciben mensajes SMS que invita a bajar una aplicación que presuntamente deja un gran valor agregado en forma gratuita, en donde se incluye un enlace estratégicamente acortado.
Los usuarios que caen con esta artimaña, bajan e instalan el archivo APK ofrecido que no es otra cosa que una aplicación “con troyano incluido” la cual tiene inyectado el código del gusano que infectó el dispositivo, utilizado.
El vector se conecta con un servidor remoto y descarga un archivo configura la aplicación para propagar la infección a todos los contactos de la víctima.
Las posibles víctimas seguirán recibiendo mensajes SMS maliciosos desde el teléfono infectado hasta que el operador lo detecte y bloquee estos mensajes o el propietario del teléfono infectado elimine el malware.
Los usuarios son encaminados a una aplicación en Google Play que después de hacer clic en el icono del troyano instalado, o al hacer clic en los iconos que Selfmite.b coloca en sus escritorios que lo redirigen a sitios web de suscripción no solicitados.
Esta aplicación maliciosa tiene la capacidad de variar el contenido según las direcciones IP en las que navegue la víctima, lo que les permite a los cibercriminales direccionar a sus víctimas de diferentes países a los sitios web maliciosos que les resulten más convenientes.
La propagación del gusano ha sido momentáneamente detenida, gracias a que el titular del servicio de acortamiento de las URL Go Daddy, utilizadas por los cibercriminales, que desactivó los enlaces maliciosos involucrados. No obstante dichos los enlaces pueden ser cambiados fácilmente y podrían reactivar a la aplicación maliciosa mediante un cambio en el archivo de configuración de descarga.
