Investigadores de Check Point han descubierto 5 millones de móviles Android de conocidos fabricantes con malware preinstalado. Llamado RottenSys, el programa malicioso ha sido encontrado en dispositivos Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung y GIONEE.
El origen del problema podría no estar en los fabricantes, ya que se ha detectado que todos los móviles infectados fueron distribuidos mediante Tian Pai, con sede en Hangzhou.
Sin embargo, los investigadores no han encontrado pruebas contra la
misma distribuidora. RottenSys se ha hecho pasar por una aplicación
llamada “System Wi-Fi service”, que fue incluida en los dispositivos en
algún punto de la cadena de distribución y terminó llegando a los
usuarios.
A pesar de hacerse pasar por una aplicación de seguridad Wi-Fi, lo que realmente hace el malware es intentar hacerse con la mayor cantidad de permisos posibles para así llevar a cabo sus actividades maliciosas.
Check Point comenta que ha estado activo desde septiembre de 2016 hasta
el 12 de marzo de 2018. Para evadir su detección, la aplicación “System
Wi-Fi service” no incluye en un principio ningún componente malicioso,
sino que se comunica con el servidor de mando y control para obtener una lista de los componentes requeridos, entre los que está el código malicioso. Utilizando la función DOWNLOAD_WITHOUT_NOTIFICATION consigue evitar la solicitación de permisos al usuario.
Una vez entra en ejecución, el malware se dedica a mostrar publicidad de forma agresiva y realmente molesta para generar ingresos
para los actores maliciosos. ¿Era la campaña rentable? En los últimos
10 días consiguieron ganar 115.000 dólares, una suma considerable si se
reparte entre pocas personas.
Pero
mostrar publicidad no era la única actividad para la que estaba
programado RottenSys, ya que al recibir órdenes de un servidor de mando y
control, los atacantes también podían llevar a cabo otras acciones como
tomar el control total de los dispositivos infectados,
pudiendo instalar aplicaciones adicionales y automatizaciones en la
interfaz de usuario. Además, los investigadores también han descubierto
que estaba siendo utilizado para construir una botnet, de la cual parte de sus mecanismos de control estaban construidos con scripts de Lua y permitía a los atacantes reutilizar su propio canal de distribución para tomar el control de millones de dispositivos.
Se
recomienda mirar el gestor de aplicaciones de Android (Ajustes →
Aplicaciones) y desinstalar las siguientes en caso de encontrar alguna o
varias de ellas instaladas.
- com.android.yellowcalendarz (每日黄历)
- com.changmi.launcher (畅米桌面)
- com.android.services.securewifi (系统WIFI服务)
- com.system.service.zdsgt
0 Comentarios