12 de abril de 2019
Los malintencionados incrustan el troyano en el software inicialmente no nocivo, cuyas copias modificadas posteriormente se difunden a través de los catálogos terceros populares de aplicaciones en Android – por ejemplo, Nine Store y Apkpure. Nuestros expertos detectaron Android.InfectionAds.1 en tales juegos y programas como HD Camera, ORG 2018_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 y Touch on Girls. Algunos de ellos fueron instalados por lo menos por varios miles de titulares de smartphones y tabletas. Pero el número de aplicaciones infectadas y de usuarios víctimas puede ser superior.
Al iniciar un programa donde está implementado el troyano, el mismo extrae los módulos extra de sus recursos de archivos y luego los descifra e inicia. Uno de ellos sirve para visualizar publicidad importuna, y los otros se usan para infectar aplicaciones e instalar software de forma automática.
Android.InfectionAds.1 solapa la interfaz del sistema y de aplicaciones activas con banners de publicidad e impide el trabajo habitual con dispositivos. Además, por comando del servidor administrativo el troyano puede modificar el código de plataformas de publicidad populares Admob, Facebook y Mopub que se usan en muchos programas y juegos. Suplanta los IDs de publicidad originales por su propio identificador, y, como resultado, todo el beneficio de visualización de publicidad en aplicaciones infectadas lo reciben los creadores de virus.
Android.InfectionAds.1 usa la vulnerabilidad crítica CVE-2017-13315 en el SO Android que le permite al troyano iniciar las actividades del sistema. Como resultado, el mismo puede instalar y desinstalar programas de forma automática sin autorización del titular del dispositivo móvil. Par crear el troyano, se usó el código demo (PoC — Proof of Concept) de investigadores chinos creado por los mismos para justificar la posibilidad de uso de esta brecha del sistema.
CVE-2017-13315 pertenece a la clase de vulnerabilidades de nombre común EvilParcel. Su función consiste en lo siguiente: algunos componentes del sistema contienen un error por causa del cual al intercambiar los datos entre las aplicaciones y el sistema operativo se puede transformar estos datos. El valor final del fragmento de datos transferidos creados a propósito será distinto al inicial. De esta forma, los programas son capaces de esquivar las comprobaciones del sistema operativo, tener permisos más altos y realizar acciones anteriormente no disponibles. Actualmente hay información sobre 7 vulnerabilidades de este tipo, pero su número puede aumentar con el tiempo.
Usando EvilParcel, Android.InfectionAds.1 instala un archivo apk oculto dentro del mismo que contiene todos los componentes del troyano. Además, de la misma forma Android.InfectionAds.1 es capaz de instalar sus propias actualizaciones que descarga del servidor de control, así como cualquier otro programa, así mismo, los nocivos. Por ejemplo, durante el análisis el troyano descargó del servidor e instaló un programa nocivo Android.InfectionAds.4, una modificación del mismo.
Un ejemplo de cómo el troyano instala aplicaciones sin permiso puede consultarse más abajo:
Junto con EvilParcel, el troyano usa otra vulnerabilidad del SO Android llamada Janus (CVE-2017-13156). Usando esta brecha del sistema, el mismo infecta las aplicaciones ya instaladas al implementar su propia copia en las mismas. Android.InfectionAds.1 se conecta al servidor de control y recibe del mismo un listado de programas que necesita infectar. Si no puede conectarse al centro remoto, infecta las aplicaciones indicadas en su configuración inicial. En función de la modificación del troyano, esta lista puede contener varias entradas. Un ejemplo de esta lista en una de las versiones analizadas de Android.InfectionAds.1:
- com.whatsapp (WhatsApp Messenger);
- com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
- com.mxtech.videoplayer.ad (MX Player);
- com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
- com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
- com.jiochat.jiochatapp (JioChat: HD Video Call);
- com.jio.join (Jio4GVoice);
- com.good.gamecollection;
- com.opera.mini.native (Opera Mini - fast web browser);
- in.startv.hotstar (Hotstar);
- com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
- com.domobile.applock (AppLock);
- com.touchtype.swiftkey (SwiftKey Keyboard);
- com.flipkart.android (Flipkart Online Shopping App);
- cn.xender (Share Music & Transfer Files – Xender);
- com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
- com.truecaller (Truecaller: Caller ID, spam blocking & call record);
- com.ludo.king (Ludo King™).
Al infectar programas, el troyano añade sus componentes a la estructura de los archivos apk sin modificar su firma digital. Luego instala las versiones modificadas de aplicaciones en vez de originales. Como por causa de la vulnerabilidad la firma digital de los archivos infectados sigue siendo la misma, los programas se instalan como sus propias actualizaciones. Así mismo, la instalación también se realiza usando la vulnerabilidad EvilParcel sin autorización del usuario. Como resultado, los programas atacados siguen funcionando correctamente, pero contienen una copia de Android.InfectionAds.1 que funciona de forma invisible junto con los mismos. Al infectar aplicaciones, el troyano puede acceder a sus datos. Por ejemplo, al infectar WhatsApp ― a la mensajería del usuario, y al infectar el navegador ― a los nombres de usuario y contraseñas guardados en el mismo.
El único modo de deshacerse del troyano y recuperar la seguridad de los programas infectados es desinstalar las aplicaciones que contienen el mismo y volver a instalar sus versiones deliberadamente limpias de orígenes seguros, tales como Google Play. En la versión actualizada de Dr.Web Security Space para Android apareció la posibilidad de detectar vulnerabilidades de la clase EvilParcel. Esta función está disponible en el Auditor de seguridad. Se puede descargar la nueva distribución del programa desde el sitio web oficial de Doctor Web que en el futuro próximo estará disponible también en Google Play.
Todos los productos antivirus Dr.Web para Android detectan y eliminan correctamente las modificaciones conocidas de Android.InfectionAds.1, por lo tanto, este troyano no es peligroso para nuestros usuarios.
[Más información sobre Android.InfectionAds.1]
Nos importa su opinión
Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.
Otros comentarios