Dr. Web

Soluciones


Dr.Web Security Space Libertad máxima posible en la red sin restricciones de seguridad Mejor protección Dr.Web para Windows, macOS, Linux Protección para Android GRATIS Incluye: Firewall, Antispam, Control Parental, Protecci'on contra exploits, Bloqueo de dispositivos extraibles La protección Dr.Web Security Space es suficiente para navegar por Internet de forma segura.		Dr.Web KATANA Kills Active Threats And New Attacks (Elimina amenazas activas y ataques) Un antivirus no basado en firmas para la protección preventiva contra las amenazas activas más nuevas, los ataques objetivo e intentos de penetración, sobretodo a través de las vulnerabilidades del «día cero», aún desconocidas para su antivirus. El antivirus no basado en firmas más ligero para PC, portátiles, ultraportátiles y tabletas Windows 10/8/8.1/7/Vista SP2/XP SP2+ (sistemas de 32/64 bits) No provoca conflictos con los antivirus de otros fabricantes Dr.Web KATANA supervisa la actividad de programas nocivos dentro de los procesos — ¡de esta forma, los intentos de robar la información sensible o de trasferir dinero de su cuenta se bloquearán de forma oportuna!
	Dr.Web Security Space para Android Proteccion de dispositivos móviles en Android contra todos los tipos de programas nocivos para robar dinero e información, contra los cifradores extorsionistas, el contenido web peligroso, las llamadas no deseadas y SMS. Para Android OS 4.4 — 10.0 / Android TV 5.0+ Para smartphones, tablets, televisores inteligentes y consolas de videojuegos Primer antivirus ruso para Android — a partir del año 2010 Más de 140 millones de descargas solo desde Google Play

Si desea adquirir una de estas soluciones de protección, puede acudir a alguno de nuestros Socios de Negocios para una atención personalizada y profesional.

Todas las noticias

Noticias de la empresa Doctor Web - Todas las noticias

Malware en Google Play: cómo los ciberdelincuentes utilizan el protocolo DNS para la comunicación encubierta de troyanos con servidores de control

11 de noviembre de 2024

La tarea de muchos troyanos, como Android.FakeApp, consiste en redirigir a enlaces de distintos sitios web, y desde un punto de vista técnico, estos programas maliciosos son bastante primitivos. Al activarse, reciben el comando para abrir una dirección web específica, de modo que los usuarios, vez de ver la aplicación o juego esperado, encuentran en la pantalla algún contenido de un sitio no deseado. No obstante, entre estas falsificaciones a veces podemos ver ejemplos destacados, como Android.FakeApp.1669. A diferencia de otras amenazas similares, este troyano usa una biblioteca modificada de dnsjava para recibir una configuración desde un servidor DNS malicioso que contiene un enlace de destino. Esta configuración solo le llega cuando el dispositivo está conectado a Internet a través de determinados proveedores, como los de internet móvil. En otros casos, el troyano permanece inactivo.

Android.FakeApp.1669 tiene múltiples versiones que se distribuyen como diferentes aplicaciones, incluidas algunas en el catálogo de Google Play. Hasta la fecha, las variantes conocidas del troyano han sido descargadas desde la tienda oficial de Android al menos 2.150.000 veces.

Ejemplos de aplicaciones donde se ocultó Android.FakeApp.1669

A continuación, se presentan algunas variantes de Android.FakeApp.1669 que los analistas de virus de “Doctor Web” detectaron en Google Play. Nuestros especialistas han identificado más aplicaciones troyanas, pero algunas ya no están disponibles en la tienda de aplicaciones.

Nombre de la aplicación	Número de descargas
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	100 000+ (eliminada)
DessertDreams Recipes	50 000+
Score Time	10 000+

Al iniciarse Android.FakeApp.1669 realiza una solicitud DNS al servidor de control para recibir un registro TXT asociado al dominio objetivo. El servidor solo envía esta información cuando el dispositivo infectado está conectado a la red a través de ciertos proveedores, entre ellos, proveedores de internet móvil. Normalmente, estos registros TXT contienen información técnica sobre el dominio, pero en caso de Android.FakeApp.1669 incluyen una configuración codificada para el malware.

Para enviar las solicitudes DNS Android.FakeApp.1669 utiliza un código modificado de la biblioteca Open Source dnsjava.

Todas las versiones del troyano están vinculadas a nombres de dominios específicos, lo que permite al servidor DNS enviar a cada versión su propia configuración. Además, los nombres de los subdominios son únicos para cada dispositivo infectado. Tienen codificados los datos sobre el dispositivo, así mismo, los sensibles:

modelo y marca del dispositivo;
tamaño de pantalla;
Identificador (consiste en dos números: el primero es la fecha de instalación del troyano, el segundo es un número aleatorio);
estado de la batería y porcentaje de carga;
si están activadas las opciones de desarrollador.

Por ejemplo, la variante de Android.FakeApp.1669 que se oculta en la aplicación Goal Achievement Planner, solicitó al servidor un registro TXT para el dominio 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com., variante del programa Split it: Checks and Tips — registro para el dominio 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital., y la variante de DessertDreams Recipes — para el dominio 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com..

Un ejemplo de registro TXT del dominio objetivo que el servidor DNS envió para una solicitud a través de la utilidad Linux al analizar una de las modificaciones de Android.FakeApp.1669

Para descifrar el contenido de estos registros TXT, hay que seguir los siguientes pasos:

invertir la cadena;
decodificar Base64;
descomprimir gzip;
dividir en líneas con el símbolo ÷.

Esto proporciona datos como los siguientes (el ejemplo corresponde la entrada TXT para la aplicación Goal Achievement Planner):

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

Estos datos incluyen un enlace que el troyano carga en WebView, en su propia ventana sobre la interfaz principal. Este enlace lleva a una página que inicia una cadena de redirecciones, la cual finalmente llega a un sitio de casino en línea. Como resultado Android.FakeApp.1669 se convierte en la práctica en una aplicación web que muestra el contenido de un sitio web cargado, en vez de la funcionalidad anunciada en la página de la aplicación en Google Play.

Un malware en vez de la funcionalidad esperada visualizó el contenido del sitio web abierto del casino online

Cuando el troyano no tiene conexión a Internet a través de los proveedores objetivo (o está en modo sin conexión), funciona como la aplicación original, siempre que los creadores de la modificación hayan incluido alguna funcionalidad para este caso.

Un troyano no recibió la configuración del servidor de control y se inició como un programa ordinario

Dr.Web Security Space para dispositivos móviles detecta correctamente y elimina todas las modificaciones conocidas de Android.FakeApp.1669, por lo tanto, este troyano no es peligroso para nuestros usuarios.

Indicadores de compromiso

Más información sobre Android.FakeApp.1669

Actualización de productos Dr.Web de versión 13.0.1 con administración centralizada y Dr.Web Industrial

14 de octubre de 2024

Doctor Web informa sobre la actualización de los productos Dr.Web 13.0.1 con administración centralizada para el negocio, así como del producto para la protección de sistemas automatizados de control de procesos Dr.Web Industrial. Los cambios en esta actualización contienen innovaciones introducidas, incluyendo las solicitadas por los usuarios corporativos, así como correcciones de errores previamente identificados.

Nuevas funciones

Para todos los productos actualizados

Para reducir la carga de los servidores virtuales ubicados en el mismo host, en el Programador de tareas de la estación de trabajo se ha añadido la opción de iniciar tareas con un retraso arbitrario: al utilizar esta opción, la tarea empezará a realizarse en el intervalo de tiempo seleccionado con respecto a la hora especificada.

Se han añadido tareas críticas Replace the encryption key en el Programador de tareas del servidor Dr.Web para actualizar la clave de cifrado privada y el certificado del Servidor Dr.Web.

Para los Agentes instalados en estaciones con sistemas operativos UNIX, ahora es posible establecer el periodo de relevancia de las bases de datos de virus. Esta funcionalidad ya está disponible para los Agentes en estaciones Windows — permite establecer el periodo durante el cual el Agente no mostrará una notificación sobre la necesidad de actualizar las firmas.

Para Dr.Web Industrial

En el Escáner para estaciones de trabajo UNIX, la acción «Informar» ahora está configurada para todos los tipos de amenazas excepto las incurables, y en el componente Dr.Web Agente Escáner — para todos los tipos de amenazas.

Correcciones

Se ha corregido un error que, en algunos casos, provocaba que a los paquetes de instalación grupal y personal del Agente Dr.Web para Windows no se transfirieran los parámetros de conexión de las estaciones al Servidor Dr.Web. Gracias a esta corrección, la implementación de una red antivirus se ha simplificado bastante.

Puede obtener más información sobre otras correcciones en la sección Changelog de nuestro sitio web .

Para evitar posibles problemas de cambio local de configuraciones Dr.Web en estaciones UNIX, se recomienda actualizar el componente Dr.Web ConfigD a la última versión antes de instalar la actualización.

Si aún no conoce Dr.Web — siempre puede probar sus funciones y asegurarse del alto nivel de protección antes de comprar la licencia:

Demo para el negocio

Demo Dr.Web Industrial

Diseñado por Sirius Arte

Ir arriba

Si desea adquirir una de estas soluciones de protección, puede acudir a alguno de nuestros Socios de Negocios para una atención personalizada y profesional.

Todas las noticias

Nuevas funciones

Para todos los productos actualizados

Para Dr.Web Industrial

Correcciones