martes, 1 de septiembre de 2009

Un troyano espía de Skype, “en libertad”

Tan sólo unos días después de que el programador suizo Ruben Unteregger publicara el código fuente de un troyano que escribió hace tres años para hackear las llamadas de teléfono con Skype, ha ocurrido lo inevitable: alguien lo ha publicado como una pieza compilada de malware falso.

Unteregger publicó el código en su página Web con una licencia GLPv3, presumiblemente con la esperanza de que su publicación hiciera imposible su utilización contra usuarios reales. Lo hizo porque tuvo remordimientos de conciencia sobre la moralidad de su creación. Él creó el programa en 2006, para una compañía privada, ERA IT Solutions, que supuestamente lo vendió a una agencia del gobierno suizo para que lo utilizara en actividades de vigilancia remota.

Ahora, Symantec y Trend Micro han informado de que un troyano de Windows, que tiene unas características muy similares a las del escrito por Unteregger, ha sido localizado por sus sistemas de detección. Se trata de Trojan.PeskySpy para Symantec y de Troj_Spayke.C para Trend. Ninguna de las compañías ha declarado abiertamente que este troyano esté directamente relacionado con la creación de código abierto de Unteregger, pero lo cierto es que hay suficientes pistas como para establecer entre ellos una importante conexión. Symantec describe el modo en el que el troyano intercepta las llamadas API a Skype, capturando y almacenando conversaciones de audio como si fueran archivos MP3 que incluyen datos como la fecha, usuario y tiempo de la misma, todo ello con el objeto de identificarlas. Asimismo, incorpora las designaciones de llamadas SkypeOut y SkypeIn. Los troyanos luego intentan cargar las grabaciones para predefinir las localizaciones después de que las hayan detectado. Con esto, pretenden eludir los filtros de nombres que establecen los firewalls.

Este diseño recuerda totalmente al Bundestrojaner del ingeniero suizo, que fue como lo denominaron tras su aparición, en honor a su uso por el gobierno de aquel país. El análisis de Trend también hace referencia al dominio utilizado por Unteregger para distribuir su código.

Lo que no está claro aún es si el troyano lleva a cabo todas las actividades de las que es capaz o si hace algo que podría ser considerado como ilegal más allá de infectar un PC sin el consentimiento de su dueño.

Este troyano es una aplicación de código abierto que puede descargarse desde una página Web en concreto”, señala un investigador de Trend Micro en la página de la compañía dedicada a nuevas amenazas, además, continúa explicando que “este troyano ha sido desarrollado como si se tratara de un programa de prueba de concepto o POC, pero su código, que ahora está disponible de manera gratuita, puede ser modificado, de modo que la información obtenida desde la red de Skype es guardada como si se tratara de un archivo de audio, del tipo de un mp3 y es enviada a un equipo remoto”.

Nada parece indicar que el troyano haya infectado a muchos equipos hoy en día y ahora se producirá un intercambio de las bases de datos de antivirus de muchos programas de software de seguridad, de modo que la amenaza parece ser muy baja e incluso inexistente. Sin embargo, el troyano de Unteregger seguirá escribiendo su propia historia como, posiblemente, la primera pieza de malware creada profesionalmente desarrollada para ser distribuida más tarde bajo una licencia GPL.

No hay comentarios: