A principios de septiembre la empresa Doctor Web publicó un análisis de Android.Pandora.2 — un backdoor que crea una botnet a base de los dispositivos infectados, capaz de realizar los ataques DDoS por comando de los malintencionados. Y a mediados del mes nuestros expertos informaron sobre malware de la familia Android.Spy.Lydia. on troyanos espía multifuncionales destinados para los usuarios iraníes. Los representantes de la familia se camuflan por una plataforma financiera para el comercio online y por comando de los atacantes pueden realizar varias acciones maliciosas. Por ejemplo, interceptar y enviar SMS, recabar la información sobre los contactos y la libreta telefónica, robar el contenido del portapapeles, abrir los sitios web phishing etc. Los troyanos Android.Spy.Lydia pueden ser aplicados en varios esquemas de estafa y usados para robar los datos personales. Además, con los mismos los malintencionados pueden robar el dinero de sus víctimas.

Según los datos de estadísticas de detecciones Dr.Web para dispositivos móviles Android, en septiembre del año 2023 la actividad de malware bajó comparado con el mes pasado. Por ejemplo, el adware troyano de familias Android.HiddenAds y Android.MobiDash se detectó en los dispositivos protegidos un 11,73% y un 26,30% menos respectivamente. El número de ataques de troyanos espía bajó un 25,11%, y de programas extorsionistas Android.Locker — un 10,52%, y troyanos bancarios — un 4,51%. Al mismo tiempo los titulares de dispositivos en Android afrontaron adware no deseado un 14,32% más.

Durante el mes de septiembre en el catálogo Google Play fueron detectadas múltiples nuevas amenazas. Entre las mismas, los troyanos de la familia Android.FakeApp, aplicados en varios esquemas de estafa, el malware de la familia Android.Joker, que suscribe a las víctimas a servicios de pago, así como adware troyano Android.HiddenAds.

TENDENCIAS CLAVE DEL MES DE SEPTIEMBRE

Reducción de la actividad de malware
Aparición de nuevo malware en el catálogo Google Play

Amenaza móvil del mes

En septiembre la empresa Doctor Web presentó los detalles del análisis del malware Android.Pandora.2, destinado sobre todo a usuarios de habla española. Los primeros casos de ataques con el mismo fueron registrados en marzo del año 2023.

Esta aplicación infecta los televisores inteligentes y consolas con Android TV, al penetrar en los mismos a través de las versiones comprometidas del malware, así como al instalar las versiones troyanas de programas para la consulta ilegal de vídeos online.

La función básica de Android.Pandora.2 — es realizar los ataques DDoS de varios tipos por comando de los malintencionados. Además, este malware puede realizar algunas otras acciones, por ejemplo — instalar sus propias actualizaciones y sustituir el archivo de sistema hosts.

La investigación de analistas de virus de Doctor Web demostró que para crear este troyano los creadores de virus usaron los trabajos de autores de Linux.Mirai, al usar una parte de su código como base. El último desde el año 2016 se usa activamente para infectar los dispositivos IoT- (los dispositivos de Internet de las cosas) y realizar los ataques DDoS a varios sitios web.

Según los datos de los productos antivirus Dr.Web para Android

Android.HiddenAds.3697: Un programa troyano para visualizar publicidad importuna. Los representantes de esta familia con frecuencia se difunden camuflados por aplicaciones legales y en algunos casos se instalan en el catálogo del sistema por otro malware. Al penetrar en dispositivos en Android, estos troyanos de publicidad suelen ocultar al usuario su propia presencia en el sistema — por ejemplo, “ocultan” el icono de la aplicación del menú de la pantalla principal.
Android.Spy.5106: Un programa troyano que consiste en versiones modificadas de modificaciones no oficiales de la aplicación WhatsApp. Puede robar el contenido de notificaciones, ofrecer la instalación de programas de orígenes desconocidos, y durante el uso del messenger — visualizar las ventanas de diálogo con el contenido configurado a distancia.
Android.Packed.57083: Detección del malware protegido por el comprimidor ApkProtector. Entre el mismo, hay troyanos bancarios, software espía y otro tipo de malware.
Android.Pandora.17: Detección de malware que descarga e instala el programa backdoor troyano Android.Pandora.2. Estos descargadores se incrustan con frecuencia por los malintencionados en las aplicaciones para Smart TV destinadas para los usuarios de habla hispana.
Android.MobiDash.7804: Un programa troyano que visualiza publicidad importuna. Es un complemento que los desarrolladores de software incrustan en aplicaciones.

Program.FakeAntiVirus.1: Detección de adware que imita el funcionamiento de software antivirus. Estos programas pueden informar sobre las amenazas no existentes y engañar a usuarios al demandar el pago por la compra de la versión completa.
Program.FakeMoney.7: Detección de aplicaciones que supuestamente permiten ganar dinero al realizar alguna acción o tarea. Estos programas imitan el abono de premios, así mismo, para usar el dinero “ganado” hay que acumular un importe determinado. Hasta si los usuarios lo consiguen, no pueden recibir los pagos.
Program.CloudInject.1: Detección de aplicaciones en Android modificadas con el servicio en la nube CloudInject y la utilidad en Android con el mismo nombre (añadida a las base de virus Dr.Web como Tool.CloudInject). Estos programas se modifican en un servidor remoto, así mismo, el usuario interesado en los mismos (modder) no controla qué exactamente se incrustará en los mismos. Además, las aplicaciones reciben un conjunto de permisos peligrosos. Una vez modificados, el usuario puede administrar estos programas de forma remota — bloquearlos, visualizar los diálogos personalizados, supervisar el hecho de instalación y eliminación de otro software etc.
Program.SecretVideoRecorder.1.origin: Detección de varias versiones de la aplicación para la grabación de fotos y vídeos en Segundo plano a través de las cámaras incrustadas de dispositivos en Android. Este programa puede funcionar de forma no autorizada al permitir desactivar las notificaciones de escritura, así como cambiar el icono y la descripción de la aplicación por los falsos. Esta funcionalidad lo convierte en potencialmente peligroso.
Program.wSpy.3.origin: Programa espía comercial para la supervisión no autorizada a los titulares de dispositivos en Android. Permite a los malintencionados leer la mensajería (mensajes en messengers populares y SMS), escuchar el entorno, supervisar la ubicación del dispositivo, supervisar el historial del navegador web, acceder a la libreta telefónica y contactos, fotos y vídeos, hacer pantallazos y fotos a través de la cámara del dispositivo, y también tiene función de keylogger.

Tool.SilentInstaller.14.origin
Tool.SilentInstaller.7.origin: Plataformas potencialmente peligrosas que permiten a las aplicaciones iniciar los archivos APK sin instalar los mismos. Crean un entorno virtual de ejecución que no afecta el sistema operativo básico.
Tool.LuckyPatcher.1.origin: Una utilidad que permite modificar las aplicaciones en Android instaladas (crear los parches para las mismas) para modificar su lógica de funcionamiento o esquivar alguna restricción. Por ejemplo, con la misma los usuarios pueden intentar desactivar la comprobación del acceso root en programas bancarios o recibir los recursos ilimitados en juegos. Para crear los parches, la utilidad descarga de Internet los scripts preparados a propósito que pueden ser creados y añadidos a la base común por cualquier persona interesada. La funcionalidad de estos scripts, así mismo, puede resultar maliciosa, por lo tanto, los parches creados pueden ser de peligro potencial.
Tool.Packer.3.origin: Detección de programas en Android cuyo código está cifrado y ofuscado por la utilidad NP Manager.
Tool.ApkProtector.16.origin: Detección de aplicaciones en Android protegidas por el comprimidor ApkProtector. Este comprimidor no es malicioso, pero los malintencionados pueden usarlo para crear los programas troyanos y no deseados para que los antivirus no detecten los mismos fácilmente.

Adware.ShareInstall.1.origin: Un módulo de publicidad que puede ser integrado en programas en Android. Visualiza las notificaciones de publicidad en la pantalla de bloqueo del SO Android.
Adware.MagicPush.1: Un módulo de publicidad incrustado en aplicaciones en Android. Visualiza los banners emergentes por encima de la interfaz del sistema operativo cuando estos programas no se usan. Estos banners contienen la información engañosa. Con mayor frecuencia, en los mismos se informa sobre los archivos sospechosos supuestamente detectados, o se menciona la necesidad de bloquear spam u optimizar el consumo de energía del dispositivo. Para realizarlo, al usuario se le ofrece entrar en la aplicación correspondiente donde está incrustado uno de estos módulos. Al abrir el programa, se visualiza publicidad.
Adware.AdPush.39.origin
Adware.AdPush.36.origin: Los módulos de publicidad de pueden ser integrados en las aplicaciones en Android. Visualizan notificaciones de publicidad que engañan a usuarios. Por ejemplo, estas notificaciones pueden ser similares a los mensajes del sistema operativo. Además, estos módulos recopilan algunos datos privados, y también pueden descargar otras aplicaciones e iniciar su instalación.
Adware.Airpush.7.origin: Un representante de la familia de módulos de publicidad incrustados en aplicaciones en Android que visualizan publicidad de varios tipos. En función de la versión y la modificación, pueden ser notificaciones de publicidad, ventanas emergentes o banners. Con estos módulos, los malintencionados con frecuencia difunden malware, al ofrecer la instalación de algún software. Además, estos módulos transfieren varios tipos de información privada al servidor remoto.

Amenazas en Google Play

En septiembre del año 2023 los analistas de virus de la empresa Doctor Web detectaron en el catálogo Google Play múltiple nuevo malware. Entre el mismo, los programas troyanos que visualizaban publicidad importuna. Los malintencionados los difundían camuflados por juegos Agent Shooter (Android.HiddenAds.3781), Rainbow Stretch (Android.HiddenAds.3785), Rubber Punch 3D (Android.HiddenAds.3786) y Super Skibydi Killer (Android.HiddenAds.3787). Una vez instalados en dispositivos en Android, estos troyanos intentaron ocultarse a los usuarios. Para realizarlo, suplantaban sus iconos ubicados en la pantalla principal por la versión transparente y sustituían sus nombres por los vacíos. Además, podían hacerse pasar por el navegador Google Chrome, al sustituir los iconos por la copia correspondiente. Cuando los usuarios hacen clic en este icono, los programas troyanos inician el navegador y siguen funcionando en segundo plano. Esto permite a los troyanos ser menos visibles y reduce la probabilidad de su eliminación prematura. Además, en caso de detener el malware, los usuarios lo reiniciarán, al pensar que reinician un navegador.

Así mismo, nuestros expertos detectaron más programas falsificados de la familia Android.FakeApp. Некоторые из них (Android.FakeApp.1429, Android.FakeApp.1430, Android.FakeApp.1432, Android.FakeApp.1434, Android.FakeApp.1435 y otros) se difundían camuflados por programas financieros. Por ejemplo, aplicaciones para las transacciones bursátiles, manuales y guías de formación de inversiones, contabilidad de hogar etc. En realidad, su tarea básica era descargar los sitios web de estafa donde a las víctimas potenciales se les ofrecía ser “inversores”.

Otros programas falsificados (por ejemplo, Android.FakeApp.1433, Android.FakeApp.1436, Android.FakeApp.1437, Android.FakeApp.1438, Android.FakeApp.1439 y Android.FakeApp.1440) fueron presentados por los malintencionados por varias aplicaciones de juegos. En algunos casos, los mismos realmente podían funcionar como juegos, pero su función principal era abrir los sitios web de casinos online.

Ejemplos de funcionamiento de este malware en modo de juego:

Ejemplos de los sitios web de casinos online abiertos por los mismos:

Así mismo, en el catálogo Google Play fueron detectados más programas troyanos de la familia Android.Joker que suscribían a los titulares de dispositivos en Android a servicios de pago. Uno de los mismos se ocultaba en una aplicación con un conjunto de imágenes Beauty Wallpaper HD, en clasificación de la empresa Doctor Web fue llamado Android.Joker.2216. Otro se difundió camuflado por un Messenger online Love Emoji Messenger y fue añadido a la base de virus Dr.Web como Android.Joker.2217.

Para proteger los dispositivos en Android contra malware y programas no deseados recomendamos a los usuarios instalar los productos antivirus Dr.Web para Android.

Indicadores de compromiso

Su Android necesita protección.

Use Dr.Web

Primer antivirus ruso para Android
Más de 140 millones de descargas solo desde Google Play
Gratis para usuarios de productos de hogar Dr.Web

Descargar gratis