La firma de seguridad ESET descubrió un ataque furtivo interesante sobre los usuarios de Android, una aplicación falsa que está tratando de usar el nombre de un juego regular, pero con una adición interesante: la aplicación se empaco con otra aplicación con el nombre SystemData o resourceA y eso es sin duda un poco sospechoso. ¿Por qué un juego regular descargado de Google Play Store venir vendría con otra aplicación llamada SystemData? Esta aplicación/juego particular de Google Play Store, no es una aplicación de sistema, como su nombre sugiere.
La aplicación empaquetada se descarga silenciosamente en el dispositivo, pero tiene que pedir al usuario que instale. La aplicación solicita la instalación haciéndose pasar por una aplicación de 'Administrar configuración'. Después de la instalación, la aplicación se ejecuta en segundo plano como servicio.
ESET detecta los juegos que instalan el troyano como Android/TrojanDropper.Mapin y el propio troyano como Android/Mapin. Según datos de la empresa, los usuarios de Android en la India son actualmente los más afectados, con el 73,58 por ciento de estas detecciones observadas.
El troyano de puerta trasera toma el control de tu dispositivo y lo hace parte de una botnet bajo el control del atacante. El troyano establece temporizadores que retrasan la ejecución de la carga maliciosa. Esto es para que sea menos obvio que el juego troyanizado es responsable de la conducta sospechosa. En algunas variantes de esta infiltración, por lo menos deben transcurrir tres días antes de que el malware se active completamente. Es probable que este retraso sea lo que permitió al TrojanDownloader saltar la verificación del Google Bouncer (sistema de prevención de malware de Google).
Después de eso, el troyano pide derechos de administrador de dispositivos y empieza a comunicarse con su servidor C&C remoto. Android/Mapin contiene múltiples funcionalidades, tales como mostrar varias notificaciones, descargar, instalación y ejecución de aplicaciones, y obtención de información privada del usuario, pero su principal objetivo parece ser el de mostrar anuncios en pantalla completa en el dispositivo infectado.
Vectores de distribución: Google Play & Co.
Lo más interesante de este troyano para Android es que estaba disponible para su descarga desde la tienda oficial, Google Play Store a finales de 2013 y 2014 aprovechando la popularidad de los juegos, tales como, Plants vs Zombies 2, Subway Surfer, Traffic Racer, Temple Run 2 Zombies , y Super Heroe Adventure y fueron subidos por los desarrolladores TopGame24h, TopGameHit y SHSH. El malware fue subido a Google Play el 24-30 de noviembre del 2013 y 22 de noviembre 2014.
Según MIXRANK, Plants vs Zombies 2 tenían más de 10.000 descargas antes de ser retirada. Por las mismas fechas Sistema Optimizer, Zombie Tsunami, Tom Cat Talk, Super Heroe Adventure, Classic Brick Game y las aplicaciones mencionadas anteriormente, estaban empaquetadas con la misma puerta trasera, ademas también fueron publicadas en varios mercados Android alternativos por los mismos desarrolladores.
La misma puerta trasera también se encontró en otras aplicaciones subidas por el desarrollador PRStudio (no prStudio) en los mercados alternativos de Android con algunos de ellos haciendo referencia a la tienda oficial de Google Play Store. Este desarrollador subió al menos otras cinco aplicaciones de troyanos *: Candy Crush o Jewel Crush, Racing Rivals, Super maria Journey, Zombie Highway Killer, Plants vs Zombies a varios mercados de Android de terceros. Todos estos juegos infectados están todavía disponibles para su descarga desde estos mercados. Las aplicaciones infectadas han sido descargadas miles de veces.
Por estas mismas razones sabemos que ningun sistema esta exento de propagar malware, como vimos recientemente, la App Store de Apple estuvo hospedando aplicaciones legitimas con malware, pero en casos como este, el usuario final es el filtro sobre instalar aplicaciones no confiables. Te recomendamos pasarte por el siguiente articulo y agudizar tu sentido de detección:
5 señales de que una aplicación podría ser peligrosa
 |
| Google Bouncer es el sistema de seguridad utilizado por Google para el escaneo y aprobación de aplicaciones |
ESET detecta los juegos que instalan el troyano como Android/TrojanDropper.Mapin y el propio troyano como Android/Mapin. Según datos de la empresa, los usuarios de Android en la India son actualmente los más afectados, con el 73,58 por ciento de estas detecciones observadas.
El troyano de puerta trasera toma el control de tu dispositivo y lo hace parte de una botnet bajo el control del atacante. El troyano establece temporizadores que retrasan la ejecución de la carga maliciosa. Esto es para que sea menos obvio que el juego troyanizado es responsable de la conducta sospechosa. En algunas variantes de esta infiltración, por lo menos deben transcurrir tres días antes de que el malware se active completamente. Es probable que este retraso sea lo que permitió al TrojanDownloader saltar la verificación del Google Bouncer (sistema de prevención de malware de Google).
Después de eso, el troyano pide derechos de administrador de dispositivos y empieza a comunicarse con su servidor C&C remoto. Android/Mapin contiene múltiples funcionalidades, tales como mostrar varias notificaciones, descargar, instalación y ejecución de aplicaciones, y obtención de información privada del usuario, pero su principal objetivo parece ser el de mostrar anuncios en pantalla completa en el dispositivo infectado.
Vectores de distribución: Google Play & Co.
Lo más interesante de este troyano para Android es que estaba disponible para su descarga desde la tienda oficial, Google Play Store a finales de 2013 y 2014 aprovechando la popularidad de los juegos, tales como, Plants vs Zombies 2, Subway Surfer, Traffic Racer, Temple Run 2 Zombies , y Super Heroe Adventure y fueron subidos por los desarrolladores TopGame24h, TopGameHit y SHSH. El malware fue subido a Google Play el 24-30 de noviembre del 2013 y 22 de noviembre 2014.
 |
| Ejemplo de aplicación con troyano |
Según MIXRANK, Plants vs Zombies 2 tenían más de 10.000 descargas antes de ser retirada. Por las mismas fechas Sistema Optimizer, Zombie Tsunami, Tom Cat Talk, Super Heroe Adventure, Classic Brick Game y las aplicaciones mencionadas anteriormente, estaban empaquetadas con la misma puerta trasera, ademas también fueron publicadas en varios mercados Android alternativos por los mismos desarrolladores.
La misma puerta trasera también se encontró en otras aplicaciones subidas por el desarrollador PRStudio (no prStudio) en los mercados alternativos de Android con algunos de ellos haciendo referencia a la tienda oficial de Google Play Store. Este desarrollador subió al menos otras cinco aplicaciones de troyanos *: Candy Crush o Jewel Crush, Racing Rivals, Super maria Journey, Zombie Highway Killer, Plants vs Zombies a varios mercados de Android de terceros. Todos estos juegos infectados están todavía disponibles para su descarga desde estos mercados. Las aplicaciones infectadas han sido descargadas miles de veces.
Por estas mismas razones sabemos que ningun sistema esta exento de propagar malware, como vimos recientemente, la App Store de Apple estuvo hospedando aplicaciones legitimas con malware, pero en casos como este, el usuario final es el filtro sobre instalar aplicaciones no confiables. Te recomendamos pasarte por el siguiente articulo y agudizar tu sentido de detección:
5 señales de que una aplicación podría ser peligrosa
