13 de noviembre de 2017

Los analistas de virus de la empresa Doctor Web detectaron en el catálogo Google Play varias aplicaciones que tenían incrustado el troyano Android.RemoteCode.106.origin. Este programa nocivo abre los sitios web sin autorización, hace clics sobre los banners y los enlaces de los mismos, así como falsifica el número de consultas de los recursos en Internet. Además, puede ser usado para los ataques phishing y para robar la información confidencial.

Los expertos de Doctor Web detectaron Android.RemoteCode.106.origin en 9 programas, descargados en total por de 2 370 000 a más de 11 700 000 usuarios. El troyano fue localizado en las aplicaciones siguientes:

• Sweet Bakery Match 3 – Swap and Connect 3 Cakes de versión 3.0;
• Bible Trivia de versión 1.8;
• Bible Trivia – FREE de versión 2.4;
• Fast Cleaner light de versión 1.0;
• Make Money 1.9;
• Band Game: Piano, Guitar, Drum de versión 1.47;
• Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017 de versión 1.0.2;
• Easy Backup & Restore de versión 4.9.15;
• Learn to Sing de versión 1.2.

Nuestros analistas informaron a la empresa Google sobre la detección de Android.RemoteCode.106.origin en estas aplicaciones. A fecha de publicación de este material, una parte de las mismas ya había sido actualizada, pero los demás programas siguen conteniendo el componente nocivo y aún son de peligro.

Antes de empezar su actividad nociva, Android.RemoteCode.106.origin realiza varias comprobaciones. Si el dispositivo móvil infectado no contiene un número determinado de fotos, contactos en la libreta y entradas de llamadas en el registro de las mismas, el troyano no hace nada. Pero en caso de cumplir con los requisitos determinados, el troyano envía una solicitud al servidor de control e intenta seguir el enlace recibido en el mensaje de respuesta. En caso de éxito, Android.RemoteCode.106.origin usa su funcionalidad básica.

El troyano descarga del servidor de control un listado de módulos que debe iniciar. Uno de ellos fue añadido a la base de virus Dr.Web como Android.Click.200.origin. Automáticamente abre en el navegador un sitio web cuya dirección se la transfiere el centro de comandos. Esta función puede ser usada para falsificar el contador de consultas de recursos en Internet, así como para los ataques phishing si el troyano recibe una tarea de abrir una página web de estafa.

El segundo módulo troyano, llamado Android.Click.199.origin, proporciona el funcionamiento del tercer componente, registrado en la base de virus como Android.Click.201.origin. La tarea básica de Android.Click.199.origin es descargar, iniciar y actualizar el módulo Android.Click.201.origin.

Android.Click.201.origin, a su vez, una vez iniciado, se conecta al servidor de control del cual recibe tareas. En las mismas se indican las direcciones de los sitios web que el troyano abre luego en una ventana invisible para el usuario, WebView. Una vez seguida una de las direcciones objetivo, Android.Click.201.origin hace un clic automáticamente sobre el banner de publicidad indicad en el comando o un elemento aleatorio de la página abierta. Repite estas acciones hasta conseguir el número de pulsaciones establecido.

De esta forma, la tarea básica de Android.RemoteCode.106.origin es descargar e iniciar los módulos nocivos extra usados para falsificar el contador de consultas de los sitios web, así como hacer clics sobre los anuncios de publicidad, por lo cual los malintencionados reciben un premio. Además, el programa nocivo puede ser usado para ataques phishing y robar la información confidencial.

Los productos antivirus Dr.Web para Android detectan correctamente todas las aplicaciones que contienen el troyano Android.RemoteCode.106.origin y sus módulos extra, por lo tanto, estos programas no son de amenaza para nuestros usuarios. Al detectar un software que tiene incrustado el troyano Android.RemoteCode.106.origin, a los titulares de smartphones y tabletas en Android se les recomienda eliminarlo o comprobar si hay versiones actualizadas disponibles que no contienen funcionalidad troyana

Más información sobre el troyano