Un troyano para Android oculto en juegos de Google Play

Hace poco, en ESET descubrimos un curioso ataque furtivo dirigido a usuarios de Android. Se trata de una aplicación que, a pesar de ser un juego normal, tiene un elemento adicional interesante: estaba empaquetada con otra aplicación llamada systemdata o resourcea, lo que sin duda es bastante sospechoso. ¿Por qué un juego normal que se descarga desde la tienda oficial Google Play Store incluye otra aplicación llamada “datos del sistema”? Ciertamente, esta aplicación/juego en particular no es una aplicación del sistema, como su nombre intenta sugerir.

Aunque la aplicación empaquetada se coloca inadvertidamente en el dispositivo, necesita pedirle permiso al usuario para poder instalarse. La aplicación móvil que solicita permiso para la instalación se hace pasar por la aplicación “Manage Settings” (Administrar configuración). Tras su instalación, se ejecuta como un servicio en segundo plano.
ESET detecta los juegos que instalan este troyano como Android/TrojanDropper.Mapin y al troyano en sí como Android/Mapin. Según nuestros datos telemétricos, los usuarios de Android en la India son actualmente los más afectados, con el 73,58% de detecciones observadas.

El troyano backdoor toma el control del dispositivo y lo convierte en parte de una botnet, al mando del atacante. El troyano configura temporizadores que retrasan la ejecución del payload malicioso. De este modo, disimula el hecho de que el juego troyanizado es el responsable de la conducta sospechosa.

En algunas variantes de esta infiltración, por lo menos deben transcurrir tres días para que el malware alcance la funcionalidad completa de un troyano. Probablemente sea este retraso lo que le permitió al TrojanDownloader pasar tanto tiempo sin ser detectado por Bouncer, el sistema de prevención de malware de Google.

A continuación, el troyano pide derechos de administrador de dispositivos y empieza a comunicarse con su servidor de C&C remoto. Android/Mapin contiene múltiples funcionalidades, tales como impulsar diversas notificaciones, descargar, instalar e iniciar aplicaciones, y obtener información confidencial del usuario; sin embargo, su principal objetivo parece ser el de mostrar anuncios de pantalla completa en el dispositivo infectado.

Vectores de distribución: Google Play y compañía

Lo más interesante acerca de este troyano es que estuvo disponible para descargar desde fines de 2013 y durante 2014 simulando ser los siguientes juegos:

Hill Climb Racing
Plants vs Zombies 2
Subway Surfers
Traffic Racer
Temple Run 2 Zombies
Super Hero Adventure

El malware se subió a Google Play entre el 24 y el 30 de noviembre de 2013, y el 22 de noviembre de 2014.

Según MIXRANK, Plants vs zombies 2 se descargó más de 10.000 veces antes de que se eliminara del sitio.

En esas mismas fechas, System Optimizer, Zombie Tsunami, Tom Cat Talk, Super Hero Adventure, Classic Brick Game y las aplicaciones ya mencionadas de Google Play Store, empaquetadas con el mismo backdoor y provenientes de los mismos desarrolladores, se subieron a varios mercados alternativos de aplicaciones para Android.

También se descubrió que el mismo backdoor se había empaquetado junto con otras aplicaciones subidas por el desarrollador PRStudio (no prStudio) en mercados alternativos para Android, en algunos de los cuales se hacía referencia a la tienda oficial Google Play Store. Este desarrollador subió al menos otras cinco aplicaciones con el troyano: Candy crush o Jewel crush, Racing rivals, Super maria journey, Zombie highway killer y Plants vs Zombies a diversos mercados para Android de terceros.
Todos estos juegos infectados aún están disponibles para descargar desde estos mercados. Las aplicaciones infectadas se descargaron miles de veces. A continuación podemos ver los íconos de los falsos juegos:

Fuente

3D Touch no puede triunfar en Android



Pese a que Huawei y otras marcas han integrado o van a integrar pronto tecnologías similares al 3D Touch de Apple, su triunfo no es posible sin el apoyo de Google y los desarrolladores.

Como con cada gran evento, de Apple, Google o Microsoft, la resaca informativa dura unos días. En mi caso, sigo pensando en la que para mí es la gran novedad de los iPhone 6s y iPhone 6s Plus: el 3D Touch. Conocido desde hace meses por su inclusión en portátiles y el Apple Watch, se sabía que llegaría al iPhone, pero muchos dudábamos de hasta qué punto aportaría valor añadido a la experiencia de uso del iPhone. La respuesta la dio Apple sobre el escenario: sin comprometer la sencillez de uso, 3D Touch es el mayor avance en interacción con el iPhone desde, prácticamente, 2007.

Fuente

Android ha cumplido con la actualización de seguridad, turno para fabricantes y operadoras

Google acaba de publicar las imágenes para sus dispositivos Nexus con las prometidas actualizaciones de seguridad mensuales. Ahora podremos saber cómo de rápidos serán los grandes fabricantes y operadoras en distribuirlas a sus usuarios.

Hace algo más de un mes la vulnerabilidad Stagefright, la más preocupante que se recuerda en Android por su gravedad y número de dispositivos afectados, puso en entredicho el preocupante estado de las actualizaciones en Android, dependientes de Google, fabricantes y operadoras. Algo que de por sí es un problema, problema muy grave si se trata de seguridad.

Las nuevas versiones de Android eliminaron dicha vulnerabilidad y las aguas parecen estar más calmadas aunque, gracias a Stagefright, vimos un verdadero movimiento por parte de Google, fabricantes y operadoras por cambiar la política de actualizaciones. Se prometieron actualizaciones mensuales con resolución a las últimas vulnerabilidades del sistema operativo más adoptado del mundo.

Google tras algo más de 30 días ya ha publicado las primeras imágenes acordes a dicho plan para sus dispositivos Nexus. Es la build “LMY48M” para los Nexus 4, 5, 6, 7, 9 y 10, junto a otra build para el Android TV Nexus. Gracias al changelog vemos que la mayoría de correcciones están destinadas a cambiar el manejo de la memoria y cerrar las puertas a potenciales overflows, es decir, prevenir posibles entradas a código malicioso con privilegios que no debería tener.

Lo más interesante de la noticia es “cronometrar” los tiempos de los demás. Al no existir un sistema a escala de actualizaciones, estos cambios, aunque sean de seguridad, son responsabilidad de los fabricantes y de las operadoras. Actualizaciones que además, son individuales para cada modelo.

Es el gran problema de Android, la complejidad y el gran abanico de dispositivos y operadoras que lo forman. Por ejemplo, en los EE.UU., T-Mobile ya anunció las actualizaciones OTAs para toda la familia Nexus un día antes que Google. La página de soporte tal y como indican en Arstechnica asegura que la actualización acaba de llegar para el Samsung Galaxy S6 y Samsung Note 5, por lo que ha sido increíblemente rápida. También llegará para el LG G4. ¿Pero qué hay del resto de operadoras y de los dispositivos que no son los emblemas de cada marca?

Es interesante conocer qué tanto cambiará la política de actualizaciones y cómo de capaz es de solucionar las vulnerabilidades que mes a mes descubren los cibercriminales.

Fuente

Un nuevo malware porno para Android chantajea al usuario sacándole una foto

El ransomware está alcanzando nuevas cotas de sofisticación en los dispositivos móviles. El caso más reciente de una de estas aplicaciones que tratan de chantajear al usuario se llama Adult Player para Android, y utiliza la cámara del teléfono para tomarnos un selfie.

Adult Player se disfraza de una supuesta aplicación para ver vídeos porno en Android. Al ejecutarla, la aplicación nos pide que instalemos un módulo adicional que es el que se encarga de cargar el malware en el sistema. Al mismo tiempo, detecta si la camara frontal está disponible, y si es así, nos toma una foto que puede ser más o menos comprometedora en función de lo que tengamos entre manos en ese momento.

En realidad, la foto no es lo más problemático. Se utiliza para dar más credibilidad a un mensaje, por lo demás ridículo, en el que se avisa al usuario de que el FBI ha bloqueado su teléfono por motivos de seguridad. Porque ya sabemos que el FBI es esa agencia dedicada a evitar que veamos porno en Android y no duda en enviarnos banners con la foto de Obama señalándonos acusador sobre nuestra propia foto pillados in flagranti.

Ridículo o no, el problema es el bloqueo en sí, que persiste aunque reiniciemos el terminal o lo formateemos. Adult Player impide acceder a las funciones del dispositivo y solicita abonar una supuesta sanción de 500 dólares para levantar el bloqueo. Para eliminar este aviso es preciso reiniciar el dispositivo en modo a prueba de fallos y revocar los permisos de administrador de la aplicación para finalmente eliminarla

Fuente