Investigadores descubrieron una nueva campaña de adware basado en Android y dirigido a personas que descargan lo que ellos creen ser aplicaciones de confianza desde páginas web y otras tiendas de aplicaciones de terceros.

Las aplicaciones maliciosas utilizan iconos de aplicaciones populares para --disfrazarse y se ofrecen para su descarga a través de anuncios popup en los sitios web visitados y en promociones, de acuerdo con una entrada de blog publicada por investigadores de la empresa de seguridad FireEye. 

Una vez instaladas, las aplicaciones explotan hasta ocho vulnerabilidades Android separadas, lo que les permite obtener privilegios de administración. A partir de ahí, ejecutan bibliotecas de código que imitan los servicios de Android legítimos, como com.facebook.qdservice.rp.provider y com.android.provider.setting, para hacerse un hueco permanente en los teléfonos infectados.

Investigadores de FireEye escribieron:

"Este servicio de sistema malicioso contacta a aps.kemoge.net por medio de comandos. Para evitar ser detectado, no se comunica constantemente con el servidor. En cambio, sólo pide comandos de la primera puesta en marcha o después de 24 horas a partir de su último mandato. En cada comunicación, primero envía IMEI, IMSI, información de almacenamiento, e información de la aplicación instalada al servidor remoto. Interceptamos el tráfico de red en un Nexus 7 con Android 4.3 y con el primer ejemplo que aparece en el Apéndice I instalado. El tráfico correspondiente se muestra a continuación."

La figura es notable porque muestra el código utilizando sus privilegios de super usuario para desinstalar la aplicación antivirus Lookout legítima, posiblemente previniendo ataques que FireEye aún no ha visto. Una de las muestras observadas por FireEye también destaca ya que fue firmada con el mismo certificado de desarrollador de una aplicación lanzada recientemente en la tienda oficial Google Play. Si bien la aplicación disponible en Google Play no contenía ninguna funcionalidad maliciosa, más funciones maliciosas podrían añadirse sobre la marcha a través de uno de los servidores a los que se conecta la aplicación, dijo FireEye. Google ya retiró la aplicación.

Después de cargar la información de dispositivo, la aplicación solicita comandos desde el servidor, como se muestra en la siguiente figura.

La entrada en el blog FireEye es otro recordatorio de que las amenazas que provienen de aplicaciones de Android disponibles en las tiendas de aplicaciones de terceros. Sin duda, el examen de seguridad de aplicaciones de Google no es de ninguna manera perfecto, pero ofrece un nivel de protección que generalmente no está disponible en otros lugares. Los usuarios de Android deben hacer uso de esta herramienta siempre que sea posible y ser precavidos al hacer uso de otras fuentes.