Mozar BOT es un malware que permite a un hacker tener un control total de los dispositivos Android de sus víctimas, incluyendo la posibilidad de borrar ficheros, además de controlar las llamadas y los mensajes de texto.
La empresa de investigación en seguridad informática Heimdal Security ha informado de su descubrimiento en una publicación en su blog corporativo el pasado fin de semana, y por lo que se puede observar, Mozar BOT es uno de los malware más peligrosos que se hayan conocido nunca en Android, debido sobre todo a su complejo diseño, así como el hecho de que puede costar a las víctimas muchos disgustos, incluido la posible pérdida de dinero, ya sea por los cargos extra a la tarjeta de crédito o bien por el daño causado por la interceptación de datos personales.
Cómo se propaga e infectaMozar BOT se propaga a través de un fichero APK que llega al usuario a través de un SMS que contiene un enlace. Obviamente, dicho enlace lleva al fichero/instalador APK con el malware, siendo el mensaje similar al siguiente:
Ha recibido un mensaje multimedia desde el número +[prefijo del país] [número de teléfono]. Pulse sobre el enlace You are not allowed to view links.
Register or Login[.]net/mms.apk para verlo.
Como es lógico, cuando se inicia el proceso de instalación, este pide que se le conceda los permisos para instalarse, y una ver terminado, el malware ya empieza a hacer de las suyas, dando la opción al atacante de tomar control total sobre el dispositivo, pudiendo realizar llamadas, compras en caso de tener configurado algún medio de pago, enviar SMS, acceder a Internet e incluso borrar el almacenamiento del dispositivo.
Además de todo lo comentado, Mozar BOT también conecta a un servidor localizado en la red Tor, por lo que el tráfico que genera es anónimo. Por otro lado explota las posibilidades de los SMS para extraer información sobre la localización del dispositivo infectado.
Un par de detalles que nos hemos dejado atrás es que el hacker puede leer los códigos pertenecientes a la autenticación en dos pasos utilizados por el usuario, y la posibilidad de enviar mensajes SMS a los números de los canales utilizados por los atacantes.
Este malware apareció en noviembre de 2015, aunque por esas fechas no se sabía que tuviese presencia más allá del mercado negro de malware ruso, según informan desde Recorded Future. Sin embargo ahora circula libremente y puede afectar a cualquier usuario sobre la faz de la Tierra.
Otras características curiosas es que excluye un idioma a la hora de ser infectado, concretamente el ruso, y cuando infecta a un dispositivo, envía un SMS a un número de teléfono localizado en Irán con el mensaje “thank you” (gracias en inglés), al que se incluye información sobre la localización de la víctima.
También puede realizar ataques man-in-the-middleCon todo lo descrito, es obvio que Mozar BOT incluye otra posibilidad, la de realizar ataques man-in-the-middle, pudiendo el atacante interceptar el tráfico que genera su víctima sin que esta se de cuenta. Esto le permite inyectar código malicioso y manipular el tráfico con el fin de dañar al usuario, pudiendo realizar peticiones de datos fraudulentas.
PrecaucionesLa única manera de protegerse contra este malware es siendo implacable con los mensajes SMS recibidos.
Primero, no hacer clic sobre ningún enlace enviado a través de SMS, incluido si se trata de algún conocido, ya que al poder adueñarse Mozar BOT del dispositivo, cabe la posibilidad de que pueda suplantar identidades.
Segundo, tener desactivada la opción de “Permitir la instalación de aplicaciones de origen desconocido”, localizado en el apartado Orígenes desconocidos en los Ajustes de Android. Evidentemente, si alguna aplicación nos solicita activar esta opción, es que no procede de la Play Store de Google, y muy posiblemente se trate de algún malware. Por suerte casi todos los dispositivo Android tienen esta opción desactivada por defecto.
Posiblemente no tarde en aparecer variantes de este malware que se propaguen a través de servicios de mensajería móvil como WhatsApp o Telegram.
Fuente: Eduardo Medina / Muy Seguridad