El troyano tiene como objetivo robar información y datos sobre transferencias bancarias.
Symantec informó sobre una amenaza de Windows que intenta infectar los dispositivos Android, cuya infección inicia con el troyano llamado Trojan.Droidpak, que descarga un DLL malicioso (detectado también como Trojan.Droidpak) y lo registra como un servicio del sistema. Después ese DLL descarga un archivo de configuración desde el servidor remoto http://xia2.dy[REMOVED]s-web.com/iconfig.txt.
La empresa de seguridad informó que después de descargar el archivo malicioso, se analiza el archivo de configuración para poder descargar el APK malicioso a la siguiente ubicación en la computadora afectada %Windir%\CrainingApkConfig\AV-cdk.apk.
El DLL podría descargar herramientas necesarias como el Puente de Depuración de Android (Android Debug Bridge), y luego instala el ADB y utiliza un comando para instalar el APK malicioso a cualquier dispositivo Android conectado a la computadora afectada. Se intenta instalar repetidamente para poder garantizar que el dispositivo móvil se infecte al conectarlo a la computadora. Para una instalación satisfactoria también requiere que el modo de depuración USB esté habilitado en el dispositivo Android.
El APK malicioso es una variante de Android.Fakebank.B y se muestra como una aplicación de la tienda de aplicaciones de Google. Sin embargo, el APK malicioso en realidad busca ciertas apps de transacciones bancarias coreanas en el dispositivo afectado y, si existen, ocasiona que el usuario las borre e instale versiones maliciosas. Android Fakebank.B e intercepta mensajes SMS y los envía a esta ubicación http://www.slmoney.co.kr[REMOVED]
Para evitar ser víctima de este modo de infección, Symantec sugiere:
- Desactivar la depuración USB de su dispositivo Android cuando no la utilice.
- Ser cauteloso cuando conecte su dispositivo móvil a computadoras no confiables.
- Instalar software de seguridad confiable