Botnet basada en Android ES UNA REALIDAD, peligro para redes empresariales (NotCompatible.C)

Botnet es un término que hace referencia a un conjunto o red de robots informáticos o bots, que se ejecutan de manera autónoma y automática.El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y se usan para diversas actividades criminales.

Haciéndose pasar por un “parche de seguridad” (UNA ACTUALIZACIÓN NORMAL DEL TELÉFONO) y distribuido a las víctimas a través de descargas no autorizadas de sitios web comprometidos y correos electrónicos spam desde cuentas comprometidas, NotCompatible.C muestra muchos cambios en comparación con las variantes anteriores.

El malware sirve como un proxy, y la red de bots (que se cree disponible para renta) es utilizada para campañas de spam, compra masiva de boletos, ataques de fuerza bruta (principalmente contra sitios WordPress) y para acceder a shells C99.

“Los operadores de malware para móviles no han hecho mucho para proteger su infraestructura o sus comunicaciones. NotCompatible.C, sin embargo, emplea una arquitectura de servidor de dos niveles,” Tim Strazzere de Lookout explica la resistencia de la red de bots:

“El servidor de comando y control de la puerta de enlace utiliza un enfoque de balance de carga en el que los dispositivos infectados con direcciones IP de distintas regiones se filtran y segmentan geográficamente, sólo los clientes autenticados pueden conectarse. Este modelo no sólo brinda eficiencia de uso para el cliente, nuestra investigación sugiere que también ayuda en la prevención del descubrimiento. Tenemos la sospecha de que la puerta de enlace C2 hace más difícil para los sistemas de análisis de comportamiento e investigadores localizarlos a través del tráfico.”

Además, todas las comunicaciones entre los clientes y los servidores de comando y control son cifradas y virtualmente indistinguibles de tráfico cifrado legítimo, señaló.

BONET2

El dispositivo recibe un archivo de configuración desde el servidor de comando y control el cual incluye apuntadores a los demás servidores que se utilizan para controlar la botnet, pero también a otros clientes infectados. De esta manera puede ponerse en contacto con éstos últimos en caso de que su comunicación con los servidores de la lista haya sido bloqueada o impedida (por ejemplo, los servidores se han dado de baja por aplicación de la ley).

Además de ser una molestia obvia y un peligro para los usuarios de teléfonos regulares, NotCompatible también representa una amenaza para las redes corporativas.

“Creemos que NotCompatible ya está presente en muchas redes corporativas ya que hemos observado, a través de la base de usuarios de Lookout, cientos de redes corporativas con dispositivos que se han encontrado con NotCompatible,” compartió Strazzere.

A pesar de que aún no se ha descubierto si se utiliza para atacar a redes protegidas, un dispositivo infectado con el malware que se conecte a la red de alguna organización, puede ser utilizado para enumerar equipos vulnerables dentro de la red, aprovechar vulnerabilidades, búsqueda de datos expuestos y otros.

EXPLICACION DETALLADA DEL VIRUS
http://www.tmcnet.com/tmc/whitepapers/documents/whitepapers/2014/9594-notcompatibleandroid-web-proxy-bot-malware-analysis-report.pdf

Leave a Comment