ESET alerta de un malware oculto en una aplicación para recordar cumpleaños

El mercado español ha sido el segundo más afectado por el adware distribuido a través de la aplicación Birthday Reminder

Madrid, 22 de junio de 2017.- Los investigadores de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, han identificado una amenaza oculta en una sencilla aplicación utilizada para recordar cumpleaños de familiares y amigos llamada Birthday Reminder.

Este malware, detectado por las soluciones de ESET como DNSBirthday, podía ser utilizado por los ciberdelincuentes para conectarse a la DNS del usuario e inundar su dispositivo con anuncios no deseados.

El adware DNSBirthday ha sido distribuido en todo el mundo pero ha tenido especial repercusión en EEUU, España, Japón e Italia. La aplicación infectada era aparentemente inofensiva ya que el adware trabaja en segundo plano; la única señal de uso fraudulento la daban unos componentes que no se podían adquirir y que permitían activar funciones de DNS en los navegadores para mostrar anuncios en las webs visitadas por los usuarios.

En el proceso de análisis de la amenaza, los investigadores de ESET descubrieron que todas las comunicaciones estaban relacionadas con RQZTech. Los ciberdelincuentes que trabajan en este proyecto han desarrollado un 'gancho' capaz de enlazar a servidores DNS alternativos cuando detectan que un nombre de dominio determinado se encuentra en la “lista de bloqueo” del archivo de configuración.

Los creadores de este malware se han esforzado en evitar ser detectados”, explica Marc-Étienne M. Leveillé, investigador sénior de malware en ESET. “Su arquitectura modular permite actualizaciones y la inclusión de más funcionalidades o malware adicional, lo que implica que aún no hemos visto todas sus posibilidades. También es interesante observar que la comunicación con el servidor C&C está securizada por una clave pública fija que previene la interceptación de lo que está ocurriendo”.

Los investigadores de ESET han llegado hasta OVH, la compañía de hosting en la que los ciberdelincuentes albergaban el servidor C&C y las comunicaciones con el servidor DNS fraudulento. Ambos han sido ya eliminados gracias a la intervención de la compañía de software de seguridad.

Para evitar este tipo de amenazas, ESET recomienda instalar una buena solución de seguridad que incluya al menos monitorización de la seguridad del router como ESET Internet Security.

 

Para ampliar información sobre cómo funcionan los ataques DNS se puede consultar este artículo.

Para conocer el análisis completo de los investigadores de ESET sobre Birthday Reminder se puede acceder a la investigación.