Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Adware para Android se infiltra en firmware de dispositivos y apps de Trend Micro
El malware Gmobi, nombrado así por investigadores de Dr. Web, aparenta ser un kit de desarrollo de software (SKD por sus siglas en inglés) y ha sido encontrado en varias aplicaciones legítimas de empresas reconocidas, así como en el firmware de casi 40 dispositivos móviles.
“Este troyano (…) está diseñado como un paquete de programa especializado, usado comúnmente por fabricantes de dispositivos móviles o por desarrolladores de software para expandir la funcionalidad de las aplicaciones Android. En particular, este módulo es capaz de actualizar remotamente el sistema operativo, recolectar información, mostrar notificaciones (incluso de anuncios) y hacer pagos móviles”, explicaron los investigadores.
Gmobi recolecta los siguientes datos y los envía el servidor C&C: correos electrónicos, información del dispositivo, disponibilidad del roaming, GPS o coordenadas de la red móvil y si la aplicación Google Play está instalada en el equipo.
El operador del servidor puede enviar comandos que en su mayoría son para indicar qué anuncios se deben mostrar y dónde (en la barra de estado, en ventanas, arriba de las aplicaciones en ejecución, en páginas web), pero también puede indicarle al malware que descargue e instale archivos APK automáticamente, utilizando una ventana de diálogo estándar del sistema.
Esta descarga e instalación es ejecutada de manera encubierta si el troyano tiene los privilegios necesarios para permitirle hacer esto; lo lleva a cabo usando un servicio del sistema llamado DownloadManager, los enlaces son añadidos a la fila de descarga del usuario.
El malware también puede ejecutar una aplicación instalada previamente por el usuario.
Gmobi fue encontrado en las aplicaciones Dr. Safety y Dr. Booster de Trend Micro, en las aplicaciones WebStorage de ASUS y en el software del sistema para la actualización de firmware de Micromax AQ5001.
Los investigadores notificaron a todas las compañías acerca de su descubrimiento y Trend Micro ha liberado nuevas versiones de las aplicaciones mencionadas sin el adware. En su caso, el troyano “sólo” recolecta información del dispositivo para enviarla a un servidor remoto, no muestra anuncios ni compromete el firmware.
