19 de octubre de 2018

Los troyanos descargadores son programas nocivos usados por los ciberdelincuentes para difundir otros troyanos. Los analistas de virus de la empresa Doctor Web detectaron uno de estos descargadores en el catálogo Google Play. Se ocultaba en un programa para conectarse a las redes virtuales privadas (VPN).

Un troyano llamado Android.DownLoader.818.origin estaba incrustado en un programa llamado Turbo VPN – Unlimited Free VPN & Proxy, descargado por más de 11 000 dueños de dispositivos móviles Android. El nombre de la aplicación nociva coincidía casi completamente con el nombre del cliente VPN popular Turbo VPN — Unlimited Free VPN & Fast Security VPN de la empresa Innovative Connecting que no tiene nada que ver con la creación de la falsificación. Al presentar Android.DownLoader.818.origin como si fuera un software conocido para conectarse a las redes privadas virtuales, los autores del troyano intentaban engañar a las víctimas potenciales y aumentar el número de descargas del mismo.

Al iniciarse, Android.DownLoader.818.origin intentaba obtener permiso para leer y guardar archivos, al visualizar la solicitud correspondiente. Luego solicitaba acceso a los permisos del administrador del dispositivo móvil.

Android.DownLoader.818.origin realmente permitía trabajar con las redes VPN — al crear el mismo, los malintencionados usaron los materiales del proyecto con código fuente abierto OpenVPN for Android. Pero los que instalaron esta aplicación, no han podido usarla — una vez recibidos los privilegios del sistema necesarios, Android.DownLoader.818.origin eliminaba su icono del listado de programas de la pantalla principal del sistema operativo. A partir de aquel momento resultaba imposible iniciar el cliente VPN troyano sin ayuda.

Al ocultarse para que el usuario no lo notara, el programa nocivo descargaba un archivo apk del servidor remoto sin permiso y lo guardaba a la tarjeta de memoria. Luego ofrecía instalar la aplicación descargada hasta que el usuario lo aceptaba. Un ejemplo del mensaje de Android.DownLoader.818.origin usado para hacer que el usuario instalara otro programa puede visualizarse más abajo:

En el momento del análisis de Android.DownLoader.818.origin, el archivo descargado por el mismo era un troyano Android.HiddenAds.710 destinado para visualizar publicidad. Pero en función de la configuración del servidor y los objetivos de los malintencionados, Android.DownLoader.818.origin puede descargar e intentar instalar cualquier otra aplicación nociva o no deseada.

Los expertos de Doctor Web informaron a la corporación Google sobre un programa peligroso encontrado en Google Play, y luego el mismo fue eliminada del catálogo de forma operativa.

Todos los troyanos descritos más arriba no son de amenaza para nuestros usuarios — los productos antivirus Dr.Web para Android los detectan correctamente y los eliminan de dispositivos móviles.

• Más información sobre Android.DownLoader.818.origin
• Más información sobre Android.HiddenAds.710