10 de noviembre de 2016

Los analistas de virus de la empresa Doctor Web detectaron otro troyano en el catálogo Google Play. Este programa nocivo añadido a la base antivirus como Android.MulDrop.924, sin permiso de usuarios descarga aplicaciones y ofrece instalarlas. Además, visualiza publicidad importuna.

Android.MulDrop.924 se difunde a través del catálogo Google Play como aplicación llamada «Multiple Accounts: 2 Accounts» descargada por más de 1 000 000 titulares de smartphones y tabletas en Android. El programa permite usar simultáneamente varias cuentas en juegos y otro software instalado en el dispositivo. Pero esta aplicación aparentemente inofensiva y hasta útil oculta la funcionalidad troyana, de lo cual el desarrollador no informó a sus víctimas potenciales. La empresa Doctor Web informó a la corporación Google sobre el troyano, pero en el momento de publicación de esta noticia Android.MulDrop.924 aún estaba disponible para la descarga.

Este programa troyano tiene arquitectura modular no muy ordinaria. Una parte de su funcionalidad está en dos módulos de software adicionales, cifrados y ocultos en una imagen PNG ubicada en el catálogo de recursos Android.MulDrop.924. Al iniciarse, el troyano extrae y copia estos módulos a su directorio local en la sección /data, y luego los carga en la memoria.

Uno de estos componentes, además de las funciones inofensivas, contiene varios complementos de publicidad usados por los autores de Android.MulDrop.924 para sacar beneficio. Entre ellos – un módulo troyano Android.DownLoader.451.origin que descarga juegos y aplicaciones sin permiso de usuario y ofrece instalarlos. Además, visualiza publicidad importuna en el panel de notificación del dispositivo móvil.

Además del catálogo Google Play, Android.MulDrop.924 se difunde también a través de los sitios web recopiladores del software. Una modificación del troyano está incrustada en la versión más antigua de la aplicación Multiple Accounts: 2 Accounts. Está firmada por un certificado tercero y, junto con el módulo nocivo Android.DownLoader.451.origin contiene un complemento troyano adicional Android.Triada.99, que descarga exploits para obtener los permisos root en el dispositivo infectado, y también es capaz de descargar e instalar programas de manera oculta. El uso del certificado de terceros puede significar que la versión indicada de Android.MulDrop.924 fue modificada y difundida por otro grupo de creadores de virus, no vinculado a los creadores de la aplicación original.

Todas las versiones conocidas del troyano Android.MulDrop.924 y sus componentes nocivos se detectan correctamente por los productos antivirus Dr.Web para Android, por lo tanto, no son de amenaza para nuestros usuarios.

Proteja su dispositivo en Android con Dr.Web