Android y los markets alternativos: no siempre ahorras dinero

15 de mayo de 2012

La familia de malware Android:FakeInst parece que forme parte de La historia interminable. Sus creadores están intentando engañar a los usuarios para que envíen mensajes SMS premium (mensajes de texto que suponen un sobrecoste importante) desde hace varios meses. Hace escasos días, avast! ha descubierto 25 aplicaciones nuevas que están presentes en markets alternativos y que están basados en este concepto.

Estas aplicaciones maliciosas para Android están alojadas en varios dominios:

urls

Todas estas webs fueron registradas hace apenas una semana, por lo que es fácil suponer que fueron pensadas desde el principio para alojar este malware. Si alguien intenta acceder a estas páginas desde un navegador convencional, obtendrá un error 404, lo cual tampoco nos invita a creer que se trate de sitios legítimos. Analizando el rastro que los creadores de este malware han dejado para nosotros, hemos descubierto varios dominios que han usado para atraer a los usuarios, sobre todo los originarios de Rusia, y que a la vista parecen markets alternativos. En realidad, estas webs existen desde hace muy poco y sólo ofrecen descargas maliciosas.

Alternative market android malware avast!

¿Qué es lo que ve el visitante? El usuario es emplazado a instalar una aplicación llamada Downloader que requiere unos permisos bastante sospechosos y que muestra una pantalla con dos botones llamados “Ok” y “Rules”. Si hacemos clic en “Rules” vemos que aquí se informa a la víctima de que la descarga puede suponer un coste monetario. En este punto, se nos informa de que podemos acceder o salir pulsando el botón correspondiente. Pero este es el engaño, porque apretar “Quit” (salir) no hace ningún efecto, por lo que sólo podemos pulsar en “Agree” u “Ok”, momento en el cual hemos abierto la puerta de nuestro dispositivo al malware.

 

Alternative market android malware avast!

Y este malware te cuesta dinero. Cuando alguien pulsa “Ok” o “Agree”, estarán siendo estafados por los creadores del programa. En segundo plano, tu móvil estará enviando mensajes SMS premium a diferentes números, dependiendo del país en el que vivas. Para tener las máximas posibilidades de beneficios a tu costa, el malware contiene números premium de más de 60 países en un fichero XML que se instala junto a la aplicación. Como los criminales quieren hacer lo más difícil posible la detección por programas de seguridad, han usado codificación AES para hacer el archivo “no leíble”. De todas formas, cuando se descodifica podemos ver un XML con una estructura básica que para la República Checa se muestra así:

Alternative market android malware avast!

Como podéis ver, el SMS se envía al número 9030979 con el texto “GET 9190002172 +021=2plt3" y cuesta alrededor de 4 dólares. Una vez hecho esto, el usuario es redirigido a la página “u*******i.org/content” donde se le pregunta el contenido del mensaje de confirmación.

El concepto no es nada nuevo en el mundo Android, ya que los “chicos malos” están dándole vueltas a este sistema desde hace ya tiempo. Sin embargo, avast! lo pone difícil para ellos al detectar estos instaladores como software malicioso e impidiendo su instalación. Así pues, ¿cuál es la lección? Nunca confíes en markets alternativos por muy bonitos y bien hechos que parezcan y siempre mirad los permisos que requieren las aplicaciones. Si descargas un juego que te pide permisos para enviar SMS y/o hacer llamadas, esto probablemente significa que alguien va a “jugar contigo” más que tú al juego que has descargado.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram