Un nuevo cambio en la distribución de malware ha sido visto en los últimos días. Unos investigadores de seguridad percibieron que un troyano de Android se escondía como si se tratara de un reproductor de películas pornográficas, utilizando un proceso de multi-instalación para evitar la detección del antivirus. Conocido por diferentes nombres, el troyano ha sido distribuido por páginas que ofrecen contenido de estas características. Se les indica a los usuarios que descarguen e instalen un reproductor de vídeo especial para ver estas películas, pero cuando ejecutan el paquete malicioso, este instala otras tres aplicaciones en el dispositivo.
El troyano utiliza un proceso de instalación de tres etapas
Esto va más allá, pues forzaría una tercera oleada de instalación de aplicaciones, todas de contenido adulto. El propósito detrás de esta técnica es separar el comportamiento malicioso entre las diferentes aplicaciones, haciendo más difícil a las compañías de seguridad que detecten sus rutinas de ataque.
Las funciones principales del troyano son interceptar y enviar SMS. Con esto buscan suscribir al usuario a varios tipos de servicios Premium. Cuando estos envían el código de notificación a cada víctima, el troyano se hace con ellos y manda el código de verificación como seña de autenticidad. De este modo, se cumple el proceso aunque el usuario no diera su consentimiento.
El troyano no adquiere acceso completo y puede ser retirado con facilidad
Solo la primera aplicación necesita a los usuarios para conseguir permiso y enviar los SMS. Por esta misma razón, reduce la posibilidad para que esto suceda si se ve el comportamiento extraño con la instalación de otros programas similares.
“La aplicación permite que otras puedan utilizar los permisos para activar un código predefinido,” los investigadores de Zscaler explicaron el proceso por el que estas aplicaciones interactúan las unas con las otras, coordinando su comportamiento malicioso.
Los investigadores comentaron que este troyano sólo ha afectado a unas pocas operadoras en China. Debido a que no incluye soporte para que acceda a la raíz del sistema, resulta muy fácil quitarlo de nuestro dispositivo, casi como si se tratara de una aplicación más.¡Esperemos que algo así no llegue a otros países del mundo!
