Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas | Normas de contactar

Sus solicitudes

Perfil

Volver a las noticias

Un troyano en Android detectado por Doctor Web puede comprar programas en Google Play

4 de agosto de 2016

Entre las aplicaciones nocivas para el SO Android son muy difundidos los troyanos que visualizan publicidad importuna. Algunos de ellos pueden realizar también otras acciones no deseadas – por ejemplo, descargar e instalar programas, así como robar la información confidencial. Uno de estos troyanos detectado por los analistas de virus de la empresa Doctor Web, en determinadas condiciones puede comprar e instalar programas del catalogo Google Play de forma autónoma.

El troyano añadido a las bases de virus Dr.Web como Android.Slicer.1.origin se instala en dispositivos móviles por otras aplicaciones nocivas. Tiene funciones características para las utilidades de servicio populares y programas optimizadores. En particular, Android.Slicer.1.origin puede visualizar la información sobre el uso de la memoria operativa y “limpiarla” finalizando los procesos activos y, así mismo, permite activar y desactivar los módulos inalámbricos Wi-Fi y Bluetooth. Además, esta aplicación no tiene su propio acceso directo en el caparazón gráfico del sistema operativo, y el usuario no puede iniciarlo.

screen #drweb screen #drweb screen #drweb

Aunque el programa tiene funciones bastante útiles, su destino principal es visualizar la publicidad importuna. Una vez iniciado, así como al encender o apagar la pantalla y el módulo Wi-Fi, Android.Slicer.1.origin transfiere al servidor administrativo la información sobre el identificador IMEI del Smartphone o de la tableta infectada, la dirección MAC y el adaptador Wi-Fi, el nombre del productor del dispositivo móvil y la versión del sistema operativo. De respuesta, la aplicación nociva recibe tareas necesarias para visualizar la publicidad, a saber:

  • Añadir un acceso directo a la pantalla principal del SO;
  • Visualizar un banner de publicidad;
  • Abrir un enlace en el navegador o en el catálogo Google Play.

screen #drweb screen #drweb

Así mismo, en algunos casos Android.Slicer.1.origin puede no solamente abrir las secciones establecidas del catálogo Google Play para publicitar programas, sino también instalar las aplicaciones correspondientes, así mismo, las de pago. En eso le “ayuda” otro troyano, un análogo de la utilidad su para trabajar con privilegios root y detectado por Dr.Web como Android.Rootkit.40. Si este programa nocivo está en la sección del sistema /system/bin, Android.Slicer.1.origin puede comprar y descargar automáticamente los programas de Google Play.

Para realizarlo, Android.Slicer.1.origin abre la sección de la aplicación en el catálogo y usando Android.Rootkit.40 en nombre de root inicia la utilidad de sistema estándar uiautomator. Usando la misma, el troyano recibe la información sobre todas las ventanas y elementos de administración visibles en la pantalla actualmente. Luego Android.Slicer.1.origin busca la información sobre los botones con el ID com.android.vending:id/buy_button (botones «Comprar» e «Instalar») y com.android.vending:id/continue_button (botón «Continuar»), localiza las coordenadas del punto medio de los botones correspondientes y hace clic sobre las mismas mientras los elementos de administración con los IDs necesarios están en la pantalla. De esta forma, Android.Slicer.1.origin puede automáticamente comprar las versiones de pago, así como descargar las versiones gratuitas de las aplicaciones establecidas por los malintencionados sin que el usuario lo sepa.

Además, las posibilidades de compra invisible e instalación del software de Google Play son limitadas para el troyano. Primero, los IDs de botones usados por Android.Slicer.1.origin están en la versión del SO Android de versión 4.3 y superior. Segundo, el programa nocivo Android.Rootkit.40 usado por el troyano no puede funcionar en dispositivos con SELinux activo, es decir, en el SO Android de versión 4.4 y superior. De esta forma, Android.Slicer.1.origin puede comprar e instalar programas de Google Play de forma autónoma solo en dispositivos que funcionan bajo la administración de Android 4.3.

El troyano Android.Slicer.1.origin se detecta correctamente y se elimina por los productos antivirus Dr.Web para Android, por lo tanto, no supone peligro para nuestros usuarios.

Más información sobre el troyano

Nos importa su opinión

Por cada comentario se abona 1 punto Dr.Web. Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.


Otros comentarios

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2019

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А