Buenos días, quizá el título confunda pero ya he conseguido llamar tu atención,
Quisiera ver si alguno de vosotros tiene información sobre un conocido worm, en concreto he detectado que un terminal Android (no sé la versión) está llevando a cabo peticiones contra 123.129.242.139 siguiendo el patrón que el siguiente malware:
https://www.virustotal.com/es/file/d2d6e1c6cca7efa512b63eb4b583e1b65646275e31fa905703638778420fc2a6/analysis/ (https://www.virustotal.com/es/file/d2d6e1c6cca7efa512b63eb4b583e1b65646275e31fa905703638778420fc2a6/analysis/)
Lo he detectado gracias a Snort dado que las peticiones simulan navegación web pero el User-Agent está mal formado y el dominio de destino: res.res.res.res:80
Las peticiones van cifradas por lo que no puedo saber la información que se está exfiltrando, solo he encontrado información a cerca de este malware en entornos Win32, pero como he dicho, son lanzadas de forma sistemática desde un dispositivo Android.
Alguien sabe si existe una variante para Android de "Almanahe"?
Gracias