Cada día aparecen más informes sobre malware en el Android Market. En este caso, tres programadores que se hacen llamar MYOURNET, Kingmall2010, y we20090202, que tal vez sean la misma persona, estaban ofreciendo descargas gratuitas de aplicaciones para Android
Casi todas las aplicaciones eran copias de programas legítimos de otros desarrolladores, pero estaban infectadas con un programa troyano.
Descargué una aplicación llamada “Super Guitar Solo”. Al revisarla noté que contenía el popular exploit de raíz “rage against the cage”, que suele usarse para alterar teléfonos Android con técnicas de “rooting” y así obtener privilegios de superusuario. Como cualquier gurú de Linux puede confirmar, una vez que obtienes privilegios de superusuario tienes acceso completo de administrador al sistema operativo del teléfono. En este caso, el exploit se ejecuta sin el consentimiento del usuario.
¿Qué quiere este troyano? La aplicación intentará conseguir la identificación del producto, tipo de aparato, idioma, país, identificación del usuario, etc. para subirlas a un servidor remoto. A diferencia de la mayoría de los ejemplares que se han visto hasta ahora, este programa no trata de enviar ni recibir mensajes SMS costosos.
Este es un descubrimiento importante porque hasta ahora la mayoría de los programas maliciosos para Android se encontraban fuera del Android Market, y los cibercriminales debían tomar medidas adicionales para infectar los teléfonos. En este caso, hasta se permite que los usuarios instalen las aplicaciones maliciosas desde la web con el nuevo formato del Android Market. Ya habíamos tocado este tema antes: El lado tenebroso del nuevo Android Market
Este es un descubrimiento importante porque hasta ahora la mayoría de los programas maliciosos para Android se encontraban fuera del Android Market, y los cibercriminales debían tomar medidas adicionales para infectar los teléfonos. En este caso, hasta se permite que los usuarios instalen las aplicaciones maliciosas desde la web con el nuevo formato del Android Market. Ya habíamos tocado este tema antes: El lado tenebroso del nuevo Android Market
También vale la pena recalcar que, tal como nuestros analistas predijeron el año pasado, los cibercriminales han comenzado a aprovechar las herramientas de “jailbreaking” como se menciona aquí: Los peligros del “Jailbreaking”.
Es importante notar que es muy posible que este no sea el único programa malicioso rondando en el Android Market. Kaspersky te recomienda que al instalar una aplicación siempre revises todos los permisos que solicita. Este caso también destaca los peligros a los que te expones si alteras tus aparatos con técnicas de “jailbreaking” o “rooting”. Kaspersky detecta este exploit como Exploit.AndroidOS.Lotoor.g y Exploit.AndroidOS.Lotoor.j desde el 1œ de febrero, así que si tienes instalado Kaspersky Mobile Security ya estás protegido.
Kaspersky seguirá analizando este ejemplar y compartirá sus hallazgos contigo si surge algo interesante.
ACTUALIZACIÓN: Google ha eliminado las aplicaciones maliciosas y su respectiva página de descarga del Android Market.
Malware en el Android Market