Una empresa de seguridad rusa llamada Dr Web ha descubierto un nuevo troyano enfocado en atacar a dispositivos Android que resulta especialmente peligroso, ya que tiene la capacidad de comprar y después instalar apps en el dispositivo desde la misma Google Play Store. Con el nombre de Android Slicer, este troyano se introduce en una app de optimización del teléfono que ofrece limpiar la memoria del terminal, así como cerrar apps que ya no se utilizan. No solo eso, sino que la app también tiene la capacidad de encender o apagar las conexiones WiFi y Bluetooth del teléfono con comandos rápidos que se muestran en la pantalla principal del usuario, en forma de pop-up flotante.
Para empezar, esta app acaba instalada en los dispositivos de los usuarios porque ellos mismos lo hacen o a través de algún otro tipo de malware. Una vez está en el terminal, recopilará información sobre el smartphone y lo enviará a su servidor C&C. Esto incluye, por ejemplo, el identificador IMEI del teléfono, la dirección MAC, el fabricante del dispositivo y la versión del sistema operativo.
Se trata de un troyano común, pero va más allá
En este punto, el servidor C&C de Android Slicer contestará comunicando al troyano que coloque anuncios, abra una página en el navegador del usuario o abra la Google Play Store en la página concreta de una app de la tienda. En este último caso, los investigadores han observado que en los dispositivos con Android 4, el troyano descargará un rootkit llamado Android.Rootkiy.40 que rooteará el dispositivo y dará a Android Slicer mayor control sobre el sistema operativo.
El troyano entonces utilizará este poder para hacer tap en los botones que aparecen dentro de la Play Store como pueden ser Continuar, Instalar o Comprar. Esto puede llevar a un peligro financiero bastante importante para aquellos usuarios que se han infectado con el troyano, pero la buena noticia es que Google previene que el rootkit funcione con dispositivo que tengan SELinux (que viene en todas las versiones superiores a Android 4.4).
A pesar de este comportamiento intrusivo, las funciones principales de Android Slicer en enviar publicidad a todos los terminales infectados.
