Descubren malware preinstaldo en 5 millones de dispositivos Android


Investigadores de Check Point han descubierto 5 millones de móviles Android de conocidos fabricantes con malware preinstalado. Llamado RottenSys, el programa malicioso ha sido encontrado en dispositivos Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung y GIONEE.

El origen del problema podría no estar en los fabricantes, ya que se ha detectado que todos los móviles infectados fueron distribuidos mediante Tian Pai, con sede en Hangzhou. Sin embargo, los investigadores no han encontrado pruebas contra la misma distribuidora. RottenSys se ha hecho pasar por una aplicación llamada “System Wi-Fi service”, que fue incluida en los dispositivos en algún punto de la cadena de distribución y terminó llegando a los usuarios.

A pesar de hacerse pasar por una aplicación de seguridad Wi-Fi, lo que realmente hace el malware es intentar hacerse con la mayor cantidad de permisos posibles para así llevar a cabo sus actividades maliciosas. Check Point comenta que ha estado activo desde septiembre de 2016 hasta el 12 de marzo de 2018. Para evadir su detección, la aplicación “System Wi-Fi service” no incluye en un principio ningún componente malicioso, sino que se comunica con el servidor de mando y control para obtener una lista de los componentes requeridos, entre los que está el código malicioso. Utilizando la función DOWNLOAD_WITHOUT_NOTIFICATION consigue evitar la solicitación de permisos al usuario.

Una vez entra en ejecución, el malware se dedica a mostrar publicidad de forma agresiva y realmente molesta para generar ingresos para los actores maliciosos. ¿Era la campaña rentable? En los últimos 10 días consiguieron ganar 115.000 dólares, una suma considerable si se reparte entre pocas personas.

Ingresos generados con RottenSys
Pero mostrar publicidad no era la única actividad para la que estaba programado RottenSys, ya que al recibir órdenes de un servidor de mando y control, los atacantes también podían llevar a cabo otras acciones como tomar el control total de los dispositivos infectados, pudiendo instalar aplicaciones adicionales y automatizaciones en la interfaz de usuario. Además, los investigadores también han descubierto que estaba siendo utilizado para construir una botnet, de la cual parte de sus mecanismos de control estaban construidos con scripts de Lua y permitía a los atacantes reutilizar su propio canal de distribución para tomar el control de millones de dispositivos.

Se recomienda mirar el gestor de aplicaciones de Android (Ajustes → Aplicaciones) y desinstalar las siguientes en caso de encontrar alguna o varias de ellas instaladas.
  • com.android.yellowcalendarz (每日黄历)
  • com.changmi.launcher (畅米桌面)
  • com.android.services.securewifi (系统WIFI服务)
  • com.system.service.zdsgt
Fuente: https://www.muyseguridad.net/

Publicar un comentario

0 Comentarios