Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Kankan

¿Qué es?

Kankan es un malware de tipo troyano backdoor con múltiples capacidades (dropper, downloader y stealer, entre otras), que se enfoca en infectar dispositivos Windows y Android para proporcionar una puerta trasera a los atacantes con la que incluir el dispositivo como parte de una botnet y realizar actividades maliciosas.

¿Qué hace?

Por una parte, este malware, se instala en los dispositivos Windows como un supuesto instalador legítimo y tiene capacidad para realizar las siguientes acciones:

  • Crea una clave de registro de Windows para cargar una librería DLL como plugin en memoria
  • Registra un plugin de Office que no añade ninguna funcionalidad, pero que crea persistencia.
  • Verifica la activación de servicios de administración de procesos del dispositivo infectado para finalizarse y evitar que se descubra su ejecución.
  • Realiza conexiones con servidores de mando y control (C2) y reporta información del sistema y de sus actividades.
  • Accede y roba la información del dispositivo infectado.
  • Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.

Por otra parte, este malware se instala sileciosamente en los dispositivos Android (sólo con la opción de depuración USB activada) a través de la propagación por la conexión con un dispositivo Windows infectado. Además, tiene capacidad para realizar las siguientes acciones:

  • Realiza conexiones con servidores de mando y control (C2) y reporta información del sistema y de sus actividades.
  • Accede y roba la información del dispositivo infectado.
  • Realiza conexiones con sitios no legítimos y descarga otros ficheros y programas maliciosos.

Sistemas afectados

Los principales dispositivos afectados son:

  • Sistemas con Microsoft Windows.
  • Sistemas con Android.

¿Cómo me infecta?

En lo referente a dispositivos Windows, este malware les infecta a través de la descarga de adjuntos en correos de phishing y de archivos maliciosos de Internet. En lo referente a dispositivos Android, les infecta a través de la instalación de programas pirateados que se obtienen de repositorios de aplicaciones no legítimos y de conexiones con equipos Windows infectados por esta amenaza.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners de Windows y accede a los cleaners de Android.

Más información

Compartir en Redes Sociales