21 de abril de 2015

Los especialistas de la empresa Doctor Web detectaron un troyano Android peligroso que intenta obtener los permisos root para la descarga, instalación y eliminación invisible de aplicaciones por comando de los malintencionados. Además, este programa nocivo recaba la información detallada sobre los dispositivos móviles infectados y los entrega a los fabricantes de virus y, así mismo, es capaz de visualizar la publicidad impertinente.

El nuevo programa nocivo llamado Android.Toorch.1.originsegún la clasificación de Dr.Web, se esconde en una aplicación linterna inofensiva desde la primera vista y puede difundirse por los malintencionados a través de los sitios web más visitados de descarga de software y, así mismo, descargarse a los dispositivos móviles de los usuarios usando varios módulos de publicidad agresivos que forman parte de algunas aplicaciones. Para que Android.Toorch.1.origin infecte un smartphone o una tableta Android, el usuario solo debe instalar este programa nocivo, pero como el troyano “se esconde” bajo la máscara de una aplicación legal, la probabilidad de instalación del mismo por las víctimas potenciales incrementa significativamente. Cabe destacar que desde la primera vista Android.Toorch.1.origin funciona como una aplicación linterna de plena función, por eso los usuarios que lo instalan no deben sospechar ninguna trampa.

Una vez iniciado, este troyano se conecta al servidor administrativo y cargar al mismo la información siguiente sobre el dispositivo infectado:

• Hora actual;
• Ubicación actual;
• Identificador IMEI;
• Identificador único del dispositivo generado por el troyano;
• Versión del troyano;
• Existencia del acceso root;
• Existencia de la conexión Wi-Fi activa;
• Versión del SO;
• Lenguaje del sistema usado en el momento;
• Fabricante y modelo del dispositivo;
• Nombre del paquete del troyano;
• Tipo de conexión de red.

Al mismo tiempo, Android.Toorch.1.origin intenta mejorar sus permisos de sistema hasta el nivel root, para lo cual usan un paquete de hackers com.apkol.root. modificado por los malintencionados En caso de éxito, el programa nocivo instala en el catálogo del sistema /system/app la aplicación NetworkProvider.apk (también se detecta como Android.Toorch.1.origin) que se guarda en el paquete de software del troyano, e inicia el servicio correspondiente. Algunas versiones de este componente pueden contener un módulo adicional GDataAdapter que se instala del mismo modo en el catálogo del sistema y sirve para soportar el funcionamiento continuo de NetworkProvider.apk, volviendo a iniciarlo si el mismo finaliza.

A su vez, el programa NetworkProvider.apk contiene otro componente del troyano Android.Toorch.1.origin guardado en la base de virus como Android.Toorch.2.origin. Se descarga en la memoria operativa usando la clase DexClassLoader y una vez iniciado correctamente en el sistema infectado, recibe un archivo de configuración desde el servidor administrativo, según el cual realiza su posterior actividad nociva. En particular, puede informar a los fabricantes de virus sobre su propio inicio correcto, realizar su propia actualización, cargar al nodo remoto la información detallada sobre el dispositivo infectado, incluidas las coordenadas GPS del mismo, así como transmitir la información sobre los programas instalados. Pero la función principal de este dispositivo es que por comando de los malintencionados es capaz de descargar, instalar o borrar las aplicaciones asignadas por los mismos, así mismo, gracias al acceso root obtenido anteriormente, estas acciones se realizarán sin ninguna acción del usuario del dispositivo infectado.

Cabe destacar que Android.Toorch.1.origin contiene una plataforma de publicidad incrustada Adware.Avazu.1.origin que sirve para visualizar la publicidad en la pantalla de dispositivos infectados cada vez que el usuario instale alguna aplicación. El mismo módulo puede instalarse en el sistema por algunas modificaciones del troyano también como una aplicación separada que forma parte del componente troyano GoogleSettings.apk – un análogo completo del módulo NetworkProvider.apk.

Un peligro serio de Android.Toorch.1.origin es que los módulos nocivos instalados por el mismo se ubican en el catálogo del sistema que no se escanea durante el análisis rápido por los productos antivirus Dr.Web para Android. Como resultado, incluso en caso de borrar la aplicación linterna de troyano inicial los componentes instalados por la misma se quedan en el sistema y continúan con su actividad nociva oculta, por eso, al detectar el troyano Android.Toorch.1.origin por primera vez, es importante realizar el escaneo completo del dispositivo móvil.

Los especialistas de la empresa Doctor Web desarrollaron una utilidad especial que debe ayudar a las víctimas del troyano Android.Toorch.1.origin a borrar todos los componentes adicionales del mismo de sus dispositivos móviles. Para desinfectar los smartphones y las tabletas infectados, es necesario descargar esta utilidad, instalar e iniciarlo, y luego seguir las instrucciones de la pantalla. Cabe destacar que una vez borrado correctamente el troyano del sistema, los permisos root dejan de ser disponibles en el mismo, por eso, si el dispositivo Android solía soportar estos permisos, habrá que volver a obtenerlos.