Un malware para Android va cargando módulos sobre la marcha

SecurityWeek informa del descubrimiento de un troyano para Android que utiliza el framework legítimo DroidPlugin para actualizarse y ocultar su actividad maliciosa.

El malware móvil, que Palo Alto Networks bautizó con el nombre de PluginPhantom, se especializa en el robo de datos y es capaz de robar archivos, contactos, datos y ubicación de la víctima, además de la información asociada con el uso de Wi-Fi. También puede sacar fotografías, hacer capturas de pantalla, interceptar audio y enviar SMS y registro de pulsaciones de teclas.

Se diferencia de los otros Android Trojan PluginPhantom multifuncionales en que utiliza DroidPlugin para distribuir las funciones maliciosas entre múltiples complementos, mientras que la aplicación host por sí misma se comporta con completa decencia. El framework de virtualización DroidPlugin se desarrolló en la empresa de seguridad informática china Qihoo 360 y, según la aclaración de Bleeping Computer, permite a los desarrolladores crear programas que cargan complementos de fuentes locales o remotas en tiempo real sin pedir al usuario consentimiento para descargar e instalar los archivos APK.

Este diseño hace que el programa sea de un tamaño mínimo y permite el trabajo con múltiples cuentas, algo que es especialmente valioso para aplicaciones usadas en redes sociales, así como para distribuir “parches” en tiempo real sin depender de Google Play Store. Sin embargo, esta es la primera vez que los investigadores se topan con un malware que usa las capacidades de DroidPlugin y hacen notar que esta innovación es un gran impedimento para los sistemas de detección estática.

En este momento, PluginPhantom opera con nueve complementos, que se integran en la aplicación host como archivos de recursos. Tres de ellos llevan a cabo las operaciones básicas, tales como la comunicación con el servidor de administración, la actualización, la búsqueda de datos robados y la transferencia de comandos a otros módulos maliciosos. Los demás complementos implementan funciones directamente relacionadas con el robo de datos:

• búsqueda de archivos y sistematización según diversos parámetros;
• extracción de datos sobre la ubicación del dispositivo móvil;
• robo de archivos de registro, ID de dispositivos, información de contacto, intercepción de mensajes de texto y llamadas de números especificados;
• sacar fotografías a través de la cámara incorporada y hacer capturas de pantalla;
• grabación de los sonidos circundantes y todas las llamadas entrantes (al recibir el comando correspondiente);
• robo de dato Wi-Fi (SSID, contraseña, dirección IP, dirección MAC), datos del sistema e información sobre aplicaciones instaladas.

Los investigadores también observaron que la aplicación host es capaz de ejecutar funciones de keylogger usando las características especiales de Android (Accesibilidad), pero para hacerlo necesita derechos de acceso, y se los pide al usuario con el pretexto de recuperar espacio en la memoria.

Los expertos SecurityWeek comentaron que no tienen ninguna razón para creer que PluginPhantom haya penetrado Google Play, pero que no tienen ninguna información acerca de cómo se propaga. Todavía no se ha podido identificar cuáles son los blancos del malware, pero los datos de geolocalización recogidos por PluginPhantom están relacionados con el sistema de coordenadas usado por los navegadores Baidu Maps y Amap Maps, muy populares en China.

Para terminar, los representantes de Palo Alto advirtieron que otros escritores de virus pueden seguir el ejemplo de los autores del nuevo malware para Android, con lo que la utilización de DroidPlugin como método de camuflaje puede hacerse masiva, derrocando a los repacks, que gozan de tanta popularidad en el presente. “Debido a que los complementos se desarrollan según esquemas comunes y su SDK es fácil de integrar, el malware para Android con una arquitectura extensible puede convertirse en una tendencia”, cita el reportero a los investigadores de SecurityWeek.

Fuentes: Securityweek