Saltar al contenido

Nuevo Malware en Android con acceso root casi imposible de eliminar

Lookout-600×450

Actualizado / mayo / 24 / 2017

Nuevo Malware en Android con acceso root casi imposible de eliminar
Califica esta publicación

Malware en Android con acceso root

Lookout descubre nueva adware Troyano; 20K aplicaciones populares atrapados en el fuego cruzado

Adware-Auto enraizamiento es un hecho preocupante en el ecosistema Android en el que las raíces de malware al dispositivo automáticamente cuando el usuario lo instala, se incrusta como una aplicación del sistema, y ​​se convierte en casi imposible de quitar. Adware, que tradicionalmente se ha utilizado para empujar agresivamente anuncios, se está convirtiendo en troyanizado y sofisticado. Esta es una nueva tendencia para el adware y un alarmante en eso.

Malware android phone

Porque es imposible erradicar el malware

LOOKOUT ha detectado más de 20.000 muestras de este tipo de adware troyanizado enmascarado como principales aplicaciones legítimas, incluyendo Crush Candy, Facebook, GoogleNow, NYTimes, Okta, SNAPCHAT, Twitter, WhatsApp, y muchos otros.

El acto de enraizamiento del dispositivo en el primer lugar crea un riesgo de seguridad adicional para las empresas y los individuos por igual, ya que otras aplicaciones pueden obtener acceso root a continuación al dispositivo, dándoles acceso sin restricciones a los archivos fuera de su dominio. Por lo general, las aplicaciones no se les permite acceder a los archivos creados por otras aplicaciones, sin embargo, con acceso a la raíz, las limitaciones se pasa por alto fácilmente.

Adware troyanizado: la historia se hace más grande

Durante el año pasado, Lookout ha estudiado tres familias interconectadas de adware. Lookout descubrió la familia Shuanet, que, como todas estas familias, auto de base del dispositivo y se esconde en el sistema de directorio. Kemoge, o lo que llamamos ShiftyBug, titulares recientemente hechas para el enraizamiento dispositivo de la víctima y la instalación de aplicaciones de carga útil secundaria. Otra familia, Shedun, también conocida como GhostPush, es otro ejemplo de este adware troyanizado. Mientras que muchos clasifican éstos como simple “adware”, estas familias son troyanos. lookout no puede eliminar virus o malware

Juntos, los tres son responsables de más de 20.000 aplicaciones reenvasados, incluyendo la aplicación de autenticación de dos factores de Okta. Estamos en contacto con respecto a este Okta reenvasado malicioso de su aplicación.

Al principio, nos preguntamos por qué alguien podría infectar a una aplicación de autenticación de dos factores de la empresa con el fin de publicar anuncios, dejando de lado la oportunidad de cosechar y exfiltrate credenciales de usuario. Sin embargo, mirando a la parte de la distribución del servidor de comando y control, parece que estas familias mediante programación empaquetar miles de aplicaciones populares de las tiendas de aplicaciones de primer nivel como Google Play y sus equivalentes localizados. Curiosamente, las aplicaciones antivirus parecen haber sido excluidos específicamente, lo que sugiere un alto nivel de planificación cuando se crean estas campañas de malware.

Es por esto que encontramos miles de aplicaciones reenvasados ​​populares disponibles en las tiendas de aplicaciones de terceros.

En el caso de Okta, Shuanet.a ofrece la aplicación original intacto, y utilizable. Por lo general, la mayoría del malware que pretende ser una popular aplicación o juego imita la versión legítima en nombre e icono solamente. Creemos que muchas de las aplicaciones reenvasados ​​de Shuanet son totalmente funcional, por lo que es mucho más fácil engañar a una víctima inocente y evitar la detección.

Las más altas detecciones de estas tres familias juntas están en los Estados Unidos, Alemania, Irán, Rusia, India, Jamaica, Sudán, Brasil, México e Indonesia.

Las tres familias comparten también hazañas. Con el fin de erradicar el dispositivo, cada aplicación adware troyanizado utiliza exploits disponibles públicamente que realizan la función de enraizamiento. ShiftyBug, por ejemplo, viene embalado con al menos ocho de ellos en un esfuerzo para permitir a sí mismo para erradicar tantos dispositivos como sea posible. Los siguientes hazañas son utilizados por ShiftyBug y Shuanet de las familias mencionadas:

Memexploit, Framaroot, ExynosAbus.

Screen-Shot-2015-11-04-at-8.59.46-AM

Cómo identificarlo como detectar virus en android?

Aunque el virus utiliza la fachada de estas reconocidas aplicaciones existe una forma de evitar que este virus “irrevocable” se instale en el directorio raíz.

“Las aplicaciones que se bajan o compran en Google Play están libres de este virus malicioso. Si tienes un teléfono con Android, hay que evitar bajar Twitter o Snapchat de otros lugares que no sean de su tienda oficial”, señaló.

Hay una opción que es reinstalar un nuevo directorio raíz, que debe ser hecho por personas especializadas que por lo general cobran más de lo que vale un teléfono en el mercado”, anotó Bentley.

Y agregó: La principal recomendación es bajar las aplicaciones de las tiendas oficiales y tener un buen antivirus para evitar que malware como este se instale y ya sea imposible sacarlo del sistema“.

Via|Lookout –  laopinion