News

Malware en el Android Market

Cada día aparecen más informes sobre malware en el Android Market. En este caso, tres programadores que se hacen llamar MYOURNET, Kingmall2010, y we20090202, que tal vez sean la misma persona, estaban ofreciendo descargas gratuitas de aplicaciones para Android

Casi todas las aplicaciones eran copias de programas legítimos de otros desarrolladores, pero estaban infectadas con un programa troyano.

Descargué una aplicación llamada “Super Guitar Solo”. Al revisarla noté que contenía el popular exploit de raíz “rage against the cage”, que suele usarse para alterar teléfonos Android con técnicas de “rooting” y así obtener privilegios de superusuario. Como cualquier gurú de Linux puede confirmar, una vez que obtienes privilegios de superusuario tienes acceso completo de administrador al sistema operativo del teléfono. En este caso, el exploit se ejecuta sin el consentimiento del usuario.

¿Qué quiere este troyano? La aplicación intentará conseguir la identificación del producto, tipo de aparato, idioma, país, identificación del usuario, etc. para subirlas a un servidor remoto. A diferencia de la mayoría de los ejemplares que se han visto hasta ahora, este programa no trata de enviar ni recibir mensajes SMS costosos.

Este es un descubrimiento importante porque hasta ahora la mayoría de los programas maliciosos para Android se encontraban fuera del Android Market, y los cibercriminales debían tomar medidas adicionales para infectar los teléfonos. En este caso, hasta se permite que los usuarios instalen las aplicaciones maliciosas desde la web con el nuevo formato del Android Market. Ya habíamos tocado este tema antes: El lado tenebroso del nuevo Android Market

Este es un descubrimiento importante porque hasta ahora la mayoría de los programas maliciosos para Android se encontraban fuera del Android Market, y los cibercriminales debían tomar medidas adicionales para infectar los teléfonos. En este caso, hasta se permite que los usuarios instalen las aplicaciones maliciosas desde la web con el nuevo formato del Android Market. Ya habíamos tocado este tema antes: El lado tenebroso del nuevo Android Market

También vale la pena recalcar que, tal como nuestros analistas predijeron el año pasado, los cibercriminales han comenzado a aprovechar las herramientas de “jailbreaking” como se menciona aquí: Los peligros del “Jailbreaking”.

Es importante notar que es muy posible que este no sea el único programa malicioso rondando en el Android Market. Kaspersky te recomienda que al instalar una aplicación siempre revises todos los permisos que solicita. Este caso también destaca los peligros a los que te expones si alteras tus aparatos con técnicas de “jailbreaking” o “rooting”. Kaspersky detecta este exploit como Exploit.AndroidOS.Lotoor.g y Exploit.AndroidOS.Lotoor.j desde el 1œ de febrero, así que si tienes instalado Kaspersky Mobile Security ya estás protegido.

Kaspersky seguirá analizando este ejemplar y compartirá sus hallazgos contigo si surge algo interesante.

ACTUALIZACIÓN: Google ha eliminado las aplicaciones maliciosas y su respectiva página de descarga del Android Market.

Malware en el Android Market

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada