Doctor Web: informe de actividad de virus para dispositivos móviles en noviembre de 2017

30 de noviembre de 2017

En noviembre en el catálogo Google Play fueron detectadas muchas aplicaciones nocivas.

A principios del mes, en el mismo fue detectado un troyano miner que usaba las potencias de computación de dispositivos móviles para obtener criptomoneda. Más tarde, los expertos en seguridad informática detectaron los troyanos SMS que suscribían a usuarios a servicios de pago. A mediados de noviembre, los analistas de virus de Doctor Web detectaron un programa nocivo que descargada e iniciaba los módulos troyanos extra. Estos módulos cargaban los sitios web y seguían los enlaces de publicidad y los banners de los mismos. Además, en Google Play se difundió un troyano que sirve para descargar varias aplicaciones. Además, en el catálogo se detectaron los banners en Android que robaban la información confidencial de los usuarios y robaban dinero de sus cuentas.

Amenaza móvil del mes

En noviembre, los analistas de virus de la empresa Doctor Web detectaron en el catálogo Google Play 9 programas con el troyano Android.RemoteCode.106.origin incrustado. En total, estas aplicaciones fueron descargadas no menos de 2 370 000 veces. Una vez iniciado, Android.RemoteCode.106.origin descarga e inicia los módulos nocivos extra. Se usan para abrir automáticamente las páginas web establecidas por el servidor de control y hacer clics sobre los banners y los enlaces de publicidad de las mismas. Para más información sobre Android.RemoteCode.106.origin, consulte la publicación del sitio web de la empresa Doctor Web.

Según los datos de productos antivirus Dr.Web para Android

Android.HiddenAds.238

Troyanos destinados para visualizar la publicidad importuna.

Android.Triada.63

Android.Triada.152

Un representante de la familia de troyanos que realiza varias acciones nocivas.

Android.DownLoader.653.origin

Un troyano que descarga oros programas nocivos.

Android.Click.171.origin

Un troyano que con cierta periodicidad consulta los sitios web indicados y puede ser usado para falsificar su número de consultas, así como para seguir los enlaces de publicidad.

Adware.Jiubang.2

Adware.Jiubang.1

Adware.Adviator.6.origin

Adware.Airpush.31.origin

Adware.SalmonAds.1.origin

Los módulos software no deseados incrustados en aplicaciones en Android que sirven para visualizar publicidad importuna en dispositivo móviles.

Un troyano miner

Android.CoinMine.3 cargaba en una ventana invisible WebView un sitio web con un script para mining que se iniciaba automáticamente. Como resultado de funcionamiento intensivo del procesador al obtener criptodivisa, el dispositivo móvil infectado pudo reducir su rendimiento y calentarse, y su batería – descargarse más rápido.

Troyanos SMS

Entre las aplicaciones nocivas difundidas a través de Google Play, detectadas el mes pasado, hubo varios troyanos SMS. Estaban incrustados en las aplicaciones Secret Notepad, Delicate Keyblard y Super Emotion, detectadas por Dr.Web como Android.SmsSend.23371, Android.SmsSend.23373 y Android.SmsSend.23374. Estos programas nocivos intentaban enviar SMS caros y suscribir el número de abonado del titular del dispositivo infectado a servicios no necesarios.

Troyano descargador

En noviembre en el catálogo Google Play fueron detectadas las nuevas modificaciones del troyano Android.DownLoader.658.origin que por comando del servidor de control ofrecía a los titulares de dispositivos móviles descargar e instalar varios dispositivos. Además, pudo descargar el software automáticamente.

Características de Android.DownLoader.658.origin:

• Incrustado en aplicaciones no nocivas;
• Usa funcionalidad nociva solo en caso de cumplir con varios requisitos (por ejemplo, si no ha sido iniciado en el emulador o si en el dispositivo móvil están desactivadas las funciones para desarrolladores);
• Puede visualizar notificaciones donde ofrece descargar e instalar algún programa;
• Para la protección contra detección y análisis, los autores del troyano usan un comprimidor especial detectado pro el antivirus Dr.Web como Android.Packed.1.

Troyanos bancarios

El mes pasado, en el catálogo Google Play fue detectado un troyano Android.Banker.202.origin que se ocultaba en aplicaciones ordinarias. Una vez iniciado, extraía de sus recursos de archivos e iniciaba el programa nocivo Android.Banker.1426. Este troyano descargaba del servidor de control un banker en Android de la familia Android.BankBot destinado para robar nombres de usuarios, contraseñas y otra información confidencial.

El mismo esquema se aplicaba en algunos troyanos de la familia Android.Banker que también fueron detectados en Google Play en noviembre. Extraían e iniciaban el componente nocivo oculto en su interior que también, a su vez, extraía de sus recursos de archivos e iniciaba otro componente troyano que, a su vez, descargaba del centro remoto e intentaba instalar un troyano bancario.

La detección de muchas aplicaciones nocivas en el catálogo Google Play significa que los malintencionados siguen encontrando modos de esquivar sus mecanismos de protección. Para proteger los dispositivos móviles de troyanos y otros programas no deseados, los titulares de smartphones y tabletas en Android deben instalar los productos antivirus Dr.Web para Android.