Nuevo malware afecta celulares Symbian

Fuente: Fortinet

La imagen anterior corresponde a  una queja formal de un cliente de telefonía en China en la cual expresa su descontento por una serie de mensajes cortos (SMS) enviados a un número premium que generaron unos costos adicionales (31 yuans) en la factura mensual del proveedor de telefonía celular. Según el reclamo, los mensajes de texto no fueron realizados por el cliente por lo que se abre la posibilidad de que se hayan efectuado de forma automática mediante el uso de un código malicioso instalado en el teléfono celular.

El causante del anterior comportamiento es el malware SymbOS/Album.A!tr, el cual ha sido analizado por la compañía Fortinet, la misma que descubrió el código malicioso Yxes que fue objeto de análisis en el trabajo de investigación presentado en el concurso de ESET 2009 para determinar si podía ser considerada la primera Botnet Móvil.

En efecto, SymbOS/Album.A!tr comparte varias características con su hermano mayor Yxes. Una de las más importantes es que utilizan la misma técnica para obtener el certificado de firma digital que exige Symbian para que las aplicaciones puedan ser instaladas en dicho sistema operativo: Los desarrolladores se registran en el sitio web https://www.symbiansigned.com/ con una dirección de e-mail corporativa válida (no se acepta gmail, yahoo, hotmail etc…) y, previo pago de USD $20, reciben la aplicación firmada.

De otra parte, SymbOS/Album.A!tr cuenta con la funcionalidad de enviar mensajes cortos SMS de forma silenciosa (sin que lo note el usuario).  Lo más interesante de esta característica es que los mensajes de texto no quedan registrados en la bandeja de entrada (inbox) del celular por lo que son completamente invisibles para el usuario. La única forma de detectar éste comportamiento es leer el log interno del teléfono (c:\101f401d\logdbu.dat):

Fuente: Fortinet

El archivo anterior muestra que el teléfono celular intentó enviar dos mensajes de texto cortos: Uno al número 10665xxx con el texto “1*1#” y otro al número 13410252xxx enviando el IMSI. Efectivamente el primer número corresponde al reclamo del usuario chino que se comentó al comienzo del artículo por lo que se concluye que los mensajes fueron enviados automáticamente por el malware  SymbOS/Album.A!tr.

El ejemplar fue enviado a Fortinet por la compañía de seguridad informática NetQuin la cual, el 5 de julio de 2010, comentó en su blog sobre el descubrimiento de una Botnet móvil de aproximadamente 100.000 dispositivos móviles lo cual demuestra que la amenaza en dispositivos móviles sigue en aumento, por lo menos en los países asiáticos en donde Symbian es bastante popular.

Categories: Botnet, Malware, Smartphones

Leave a Reply

Your email address will not be published. Required fields are marked *