Detectan malware preinstalado en 5 millones de populares Android smartphones

Malware para móvil
Estándar

Los investigadores de seguridad de Check Point Mobile Security Team, han descubierto una campaña de malware que muestra un crecimiento continuo y masivo, que ya ha infectado a casi 5 millones de dispositivos móviles en todo el mundo.

Apodado RottenSys, el malware que se disfrazó como una aplicación del ‘Servicio Wi-Fi del sistema’ viene preinstalado en millones de teléfonos inteligentes nuevos fabricados por Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung y GIONEE, el malware pudo haber sido agregado en algún punto de la cadena de suministro.

Todos estos dispositivos afectados se enviaron a través de Tian Pai, un distribuidor de teléfonos móviles con sede en Hangzhou, pero los investigadores no están seguros de si la empresa tiene una participación activa en esta campaña de difusión de malware.

Según los investigadores, que descubrieron esta campaña infecciosa. RottenSys es una pieza avanzada de malware que no proporciona ningún servicio seguro relacionado con Wi-Fi pero que toma casi todos los permisos sensibles de Android para habilitar sus actividades maliciosas.

En el post de Check Point Mobile Security Team se puede leer:

De acuerdo con nuestros hallazgos, el malware de RottenSys comenzó a propagarse en septiembre de 2016. Para el 12 de marzo de 2018, 4,964,460 dispositivos fueron infectados por RottenSys.

Para evadir la detección, la falsa aplicación de Servicio Wi-Fi del sistema viene inicialmente sin ningún componente malicioso y no inicia inmediatamente ninguna actividad maliciosa.

En cambio, RottenSys ha sido diseñado para comunicarse con sus servidores de comando y control para obtener la lista de componentes necesarios, que contienen el código malicioso real.

RottenSys luego descarga e instala cada uno de ellos en consecuencia, utilizando el permiso “DOWNLOAD_WITHOUT_NOTIFICATION” que no requiere ninguna confirmación por parte del usuario.

En este momento, la campaña de malware masivo empuja un componente de adware a todos los dispositivos infectados que muestran agresivamente los anuncios en la pantalla de inicio del dispositivo, como ventanas emergentes o anuncios de pantalla completa para generar ingresos publicitarios fraudulentos.

Y de acuerdo a los investigadores: “RottenSys es una red publicitaria extremadamente agresiva. En los últimos 10 días, lanzó publicidades agresivas 13,250,756 veces (llamadas impresiones en la industria publicitaria) y de las cuales 548,822 se convirtieron en clicks publicitarios“.

Según los investigadores de CheckPoint, el malware ha hecho para sus autores más de $ 115,000 solo en los últimos 10 días, pero los atacantes pueden hacer algo mucho más dañino que simplemente mostrar publicidad no solicitada.

Dado que RottenSys ha sido diseñado para descargar e instalar cualquier componente nuevo de su servidor de Comando & Control, los atacantes pueden militarizar fácilmente o tomar el control total de millones de dispositivos infectados alrededor del mundo.

La investigación también mostraron algunas pruebas de que llevan a concluir que los atacantes de RottenSys ya comenzaron a convertir millones de estos dispositivos infectados en una red masiva de botnets.

Se han encontrado algunos dispositivos infectados que instalan un nuevo componente de RottenSys que brinda a los atacantes habilidades más amplias, incluida la instalación silenciosa de aplicaciones adicionales y la automatización de la IU.

Los investigadores dijeron:

Curiosamente, una parte del mecanismo de control de la botnet se implementa en el lenguaje de scripting Lua. Sin intervención, los atacantes podrían volver a utilizar su canal de distribución de malware existente y pronto tomar el control de millones de dispositivos.

Esta no es la primera vez que los investigadores de CheckPoint encuentran marcas de primer nivel afectadas por el ataque de la cadena de suministro.

El año pasado, la firma encontró un teléfono inteligente perteneciente a Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, infectado con dos piezas de malware preinstalado (Loki Trojan y SLocker mobile ransomware) diseñadas para espiar a los usuarios.

¿Cómo detectar y eliminar Android Malware?

Para verificar si su dispositivo está infectado con este malware, vaya a la configuración del Sistema de Android → Administrador de Aplicaciones y luego busque los siguientes posibles nombres de paquetes de malware:

  • com.android.yellowcalendarz (每日 黄 历)
  • com.changmi.launcher (畅 米 桌面)
  • com.android.services.securewifi (系统 WIFI 服务)
  • com.system.service.zdsgt

Si alguno de los anteriores está en la lista de sus aplicaciones instaladas, simplemente desinstálelo.