Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

DeathRing

¿Qué es?

DeathRing es un malware de tipo troyano genérico que viene preinstalado en algunos dispositivos Android de bajo coste durante el proceso de fabricación y que permite realizar actividades maliciosas a los atacantes. Además, puede proporcionarles una puerta trasera con la que incluir el dispositivo como parte de una botnet y realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones:

  • Descarga contenido malicioso al obtener y ejecutar SMS y WAP desde su servidor de mando y control (C2).
  • Realiza ataques de phishing para obtener información personal de los usuarios del dispositivo afectado mediante mensajes fraudulentos que solicitan datos sensibles del usuario.
  • Descarga aplicaciones adicionales e incita a la instalación de archivos APK potencialmente maliciosos sin el conocimiento de los usuarios.
  • Intercepta las comunicaciones mediante la monitorización de mensajes y llamadas para robar las información de los dispositivos afectados.
  • Modifica la configuración del sistema alterando parámetros de seguridad para facilitar su persistencia.
  • Ejecuta comandos remotos para permitir a los atacantes tomar el control parcial de los dispositivos afectados.
  • Comete fraudes financieros al suscribir a las víctimas a servicios premium sin su consentimiento, que les genera cargos en la factura telefónica.

Sistemas afectados

Los principales dispositivos afectados son:

  • Dispositivos con sistemas Android de fabricantes de bajo coste provenientes, sobre todo, de países de Asia y África.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de la cadena de suministro comprometida durante la fabricación.

Cómo desinfectar mi equipo

Eliminar este malware de los dispositivos infectados se trata de una tarea extremadamente complicada debido a que está incrustado en una partición de sólo lectura del firmware, por lo que los restablecimientos de fábrica o las aplicaciones antivirus no pueden eliminarlo. Debido a esto, se recomienda que se contacte con el vendedor o fabricante del dispositivo para pueda proporcionar una actualización o un parche de seguridad que correja la infección.

Más información

Compartir en Redes Sociales