5 de febrero de 2016

La arquitectura de programas nocivos para la plataforma móvil Android se hace más compleja cada año: si los primeros troyanos para este sistema eran aplicaciones bastante primitivas, los de ahora a veces no son menos sofisticados que los troyanos en Windows más complejos. En febrero de 2016 los expertos de la empresa Doctor Web detectaron un conjunto entero de aplicaciones nocivas para el SO Android que tienen una amplia gama de posibilidades funcionales.

Este conjunto consiste en tres troyanos que funcionan conjuntamente, llamados Android.Loki.1.origin, Android.Loki.2.origin y Android.Loki.3 respectivamente. El primero se descarga usando la biblioteca liblokih.so detectada por el Antivirus Dr.Web para Android llamado Android.Loki.6. Esta biblioteca se implementa en un proceso del sistema por el troyano Android.Loki.3 — como resultado, Android.Loki.1.origin obtiene la posibilidad de funcionar en el sistema con privilegios del usuario system. Android.Loki.1.origin es un sistema que tiene un conjunto de funciones: por ejemplo, el troyano puede descargar cualquier aplicación del catálogo oficial de Google Play usando un enlaces especial que contiene una indicación a la cuenta de algún software de socios, gracias a lo cual los malintencionados obtienen la posibilidad de sacar beneficio. Entre otras posibilidades de Android.Loki.1.origin cabe destacar lo siguiente:

• instalación y desinstalación de aplicaciones;
• activación y desactivación de aplicaciones, así como de sus componentes;
• detención de procesos;
• visualización de notificaciones;
• registro de aplicaciones como Accessibility Service (servicio que supervisa las pulsaciones de la pantalla del dispositivo);
• actualización de sus componentes, así como la descarga de complementos por comando desde el servidor administrativo.

El segundo programa nocivo del conjunto detectado por los analistas de Doctor Web — Android.Loki.2.origin — sirve para instalar en el dispositivo infectado varias aplicaciones por comando desde el servidor administrativo, así como para mostrar la publicidad. Pero este troyano tiene funciones espía — al iniciarse, recaba y envía a los malintencionados la información siguiente:

• IMEI del dispositivo infectado;
• IMSI del dispositivo infectado;
• Dirección mac del dispositivo infectado;
• ID MCC (Mobile Country Code) — código móvil del país;
• ID MNC (Mobile Network Code) — código de la red móvil;
• Versión del SO en el dispositivo infectado;
• Valor de resolución de pantalla;
• Datos sobre la memoria operativa (volumen total y volumen libre);
• Versión del núcleo del SO;
• Datos sobre el modelo del dispositivo;
• Datos sobre el productor del dispositivo;
• Versión de firmware;
• Número de serie del dispositivo.

Una vez enviada esta información al servidor administrativo, el troyano recibe de respuesta un archivo de configuración que contiene los datos necesarios para su funcionamiento. Con periodicidad establecida, Android.Loki.2.origin solicita el servidor administrativo para recibir tareas y durante cada sesión de conexión transmite adicionalmente a los malintencionados los datos siguientes:

• Versión del archivo de configuración;
• Versión del servicio realizado por el troyano Android.Loki.1.origin;
• Idioma del sistema operativo;
• País indicado en la configuración del sistema operativo;
• Información sobre la cuenta del usuario en servicios Google.

De respuesta Android.Loki.2.origin recibe una tarea para instalar alguna aplicación (que así mismo puede descargarse del catálogo Google Play), o para visualizar publicidad. Al hacer clic sobre las notificaciones visualizados por el troyano, se va a un sitio web determinado o se instala la aplicación. Así mismo, por comando de los ciberdelincuentes, Android.Loki.2.origin envía al servidor administrativo la información siguiente:

• listado de aplicaciones instaladas;
• historial del navegador;
• listado de contactos del usuario;
• historial de llamadas;
• ubicación actual del dispositivo.

Por fin, Android.Loki.3 realiza dos funciones en el dispositivo infectado: implementa la biblioteca liblokih.so en el proceso del servicio de sistema system_server y permite ejecutar los comandos en nombre de superusuario (root) recibidos de otros troyanos de familia Android.Loki. En realidad, Android.Loki.3 ejerce de servidor para ejecutar los shell scripts: los ciberdelincuentes transmiten al troyano la ruta al script por ejecutar, y Android.Loki.3 inicia este script.

Como los troyanos de familia Android.Loki ubican una parte de sus componentes en carpetas de sistema del SO Android a los que no puede acceder el programa antivirus, al detectar en el dispositivo algún programa nocivo de este tipo, el modo más óptimo de evitar las consecuencias de la infección es actualizar el firmware del dispositivo usando la imagen original del SO. Antes de realizar este procedimiento, se recomienda hacer una copia de seguridad de toda la información importante que se guarda en el Smartphone infectado o en la tableta, y los usuarios inexpertos deben contactar con los expertos para realizarlo.

Proteja su dispositivo en Android con Dr.Web