• Registrarse
  • Iniciar sesión


  • Resultados 1 al 9 de 9

    Nuevo Adware en Android hallado en Google Play más agresivo que nunca

    Nuevo Adware en Android hallado en Google Play más agresivo que nunca Bitdefender ha encontrado 10 aplicaciones en la tienda de google play que han estado llenos de adware agresivo para suscribir a los usuarios ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Nuevo Adware en Android hallado en Google Play más agresivo que nunca


      Bitdefender ha encontrado 10 aplicaciones en la tienda de google play que han estado llenos de adware agresivo para suscribir a los usuarios a números clasificados como premium usando mensajes de scareware o instalando aplicaciones adicionales que contienen más anuncios.

      Las aplicaciones (incluyen la #app "¿Cuál es mi ip?" Aún disponibles en Google Play) fueron diseñadas para utilizar un nombre diferente cuando sean instaladas para que lo usuarios se tomen más tiempo para poder identificarlos y desinstalarlos.

      Una vez instalado, crean un acceso directo en el escritorio llamado "System Manager". Si alguien se da cuenta que es una de estas aplicaciones responsable de todas las redirecciones del navegador y de los mensajes scareware, será más difícil de hallarlo y desinstalar la aplicación en el menú del administrador de aplicaciones que se esconde bajo un nuevo nombre indefinido y no, por ejemplo, "¿Cuál es mi ip?" A menos que los usuarios sospechen de la aplicación esta permanecerá instalada y funcionando indefinidamente.


      Probablemente una de las razones del porqué las aplicaciones eludían el veto de Google se deba a que la #url utilizada para redirigir a los usuarios, no difunde en realidad archivos .apk maliciosos. Su objetivo es redirigir los navegadores - navegador nativo de Android, Chrome, Firefox, Facebook o incluso TinyBrowser - a una URL especialmente diseñada que llevará a los usuarios a una página web controlada por los delincuentes o similares.


      Para cada búsqueda que se haga en el navegador, al hacer clic en la dirección URL o en algún enlace que se abra en Facebook, los usuarios son redirigidos a una página web (http://www.mobilsitelerim.com/anasayfa) que muestra una variedad de anuncios específicos de geolocalización con la intención de asustar a los usuarios en Suscribirse a números premium-clasificados – para la suscripción de una supuesta seguridad – o engañarlos para instalar más adware disfrazado como actualizaciones del sistema o rendimiento.


      Estas aplicaciones mal intencionadas sólo requieren dos permisos – el de red de comunicación y el de herramientas del sistema – pudiendo causar enormes dolores de cabeza y potencialmente engañar a los usuarios a descargar adware y aplicaciones device-clogging.

      Aunque no son maliciosos, la información sensible de los usuarios puede ser difundida a terceros, se asemejan a los agresivos adware encontrados en las PCs de escritorio. La victima obtendrá anuncios en su dispositivo, ventanas emergentes y redirecciones que irritará a los usuarios y perjudicará seriamente la experiencia de estos además de, problemas de funcionamiento de los dispositivos Android.


      El adware agresivo ha avanzado a un ritmo peligroso en los últimos años, pasando de adware y anuncios en la aplicación SDK, a redirecciones en el navegador y ejecutar aplicaciones en el arranque ocultamente bajo nombres aparentemente legítimos.

      En el momento de escribir este articulo, algunas de las aplicaciones están disponibles en Google Play. Podemos detectarlos como Android.Trojan.HiddenApp.E. Recomendamos a todo el mundo instalar una solución de seguridad que puede detectar el malware y el adware agresivo y mantenerlos fuera de tu dispositivo Android.

      Ejemplos md5:

      f2d57300d5f991dbc965ac092d5f4301 – com. alm.alm
      c1d7afa5c4eb0b8e3c0292eadf98771e – com. tr.dum.dum
      16967bea7d3dcb08c12220925ef6f030 – com. est.hk
      cb9d3ff0eea162dd602eefe7b08ded49 – com. est.esteban
      dbc99ba3241f943cc9e58870f0e40b34 – com. brer.brer
      51bc232de9af3f34a58d824da86a70bc – com. tr.ipp
      996c4a1525729466d87edf85cbbdf5de – com. who.myip.detect
      6f37bd3c286440e37103ee8b67aca7d6 – com. tf.fed
      47b863625a8022399247fc92c4d5d178 – com. esc.escd
      e1ccb51569635415e66af16cbdd94ddc – com. esc.escde

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Habitual Avatar de Crazymetalxxx
      Registrado
      feb 2014
      Ubicación
      Venezuela
      Mensajes
      1.251

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Saludos Woaxxx y muchas gracias. Como siempre manteniendonos informados de los últimos acontecimientos. La verdad la creatividad de los cyber-delincuentes no tiene limites.

    3. #3
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Gracias a ti por el comentario, compañero.

      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Usuario Avatar de Sergiosanz95
      Registrado
      ene 2015
      Ubicación
      España
      Mensajes
      344

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Hola Woaxx y crazymetalxx

      Gracias por la información Woaxx, ahora sabemos una información mas en nuestra mente a tener cuidado con estos tipos de Adware. Una pregunta, ¿como lo investigas? Me gustaría hacerlo como usted de informar maliciosos y cosas así. Jejeje.

      Un saludo.

    5. #5
      Usuario Avatar de Tx81w02
      Registrado
      may 2014
      Ubicación
      España
      Mensajes
      440

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Muchas gracias por la información Woaxx, menos mal que yo no instalo ese tipo de aplicaciones, aprovecho para recomendar el 360 Security, que es bastante buen antivirus para android.

      Salu2

    6. #6
      Usuario Avatar de carlosotero
      Registrado
      mar 2010
      Ubicación
      PUERTO RICO,USA
      Mensajes
      143

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Y entonces uso android aqui en AT&T Puerto rico,USA y no es como para moverme un iphone 6

    7. #7
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.598

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Gracias amigos por sus comentarios, les dejo más información al respecto.

      Downloaders "en diferido": Nuevas técnicas de descarga de apps maliciosas en Google Play


      Los descargadores o "downloaders" no son nuevos en Android, pero últimamente, se están volviendo cada vez más importantes para los atacantes, como método que elude las barreras de entrada en Google Play y su detector de malware. En ElevenPaths hemos detectado unos downloaders que, bajo la apariencia de apps inocentes, permiten la descarga de apks más peligrosos (literalmente, cualquier apk). Necesita de la interacción del usuario y que la opción de "instalar de fuentes desconocidas" esté activa, pero el truco que utiliza para engañar al usuario es bastante ingenioso, y permite que la app descargada (la segunda) se ejecute sin que el usuario asocie los futuros problemas que tendrá con la primera app que instaló. Veamos cómo.

      Los "downloaders" son un viejo truco en el mundo del PC, y algo relativamente no tan nuevo en Android. Estas apps intentan encontrar el camino hacia la victima usando permisos menos sospechosos, o incluso ofreciendo realmente la funcionalidad prometida. Así es como llegan a Google Play. Después, en una futura versión, una vez consolidados en el mercado, mutan. Se vuelven "downloaders" de un adware o malware más complejo. Los atacantes tienen mucho más éxito con estas técnicas. Hay muchas. Veamos una nueva.

      Cómo funciona

      Un usuario podría descargar una aplicación aparentemente inocente y, solo un tiempo después, el teléfono descargaría e intentaría instalar, engañando al usuario, otra aplicación completamente diferente: muy probablemente maliciosa (malware, dialers o suscriptores a mensajes premium, etc).

      Las apps que hemos encontrado no son muy detectadas por los antivirus e incluso, si lo son, es por la carga de adware agresivo que llevan en sí mismas, no por su técnica de descarga. Incluso muchas de ellas todavía se encuentran en Google Play. Hemos analizado esta que todavía se encuentra online.


      Se supone que se trata de un "cambiador de voz" y en realidad lo hace, guardando un fichero .wav y modificando la frecuencia de reproducción. La app en sí misma contiene tres SDKs diferentes de tres proveedores de publicidad distintos. Esto significa que por sí misma inunda el teléfono con publicidad. Pero no es suficiente... esta app declara además un "receiver" llamado "USER_PRESENT".


      Este es un evento oficial que se lanza cada vez que el dispositivo "se despierta" por una acción del usuario. En otras palabras, básicamente cuando se desbloquea. Este es el código que se lanza cuando se recibe el evento:


      Básicamente, lo que la aplicación está haciendo es asegurarse la conectividad. Comprueba que se lanza solamente una vez al día. Esto ocurre incluso cuando no se está usando la app. Cuanta (con la variable "k") cuántas veces ha sido ejecutada y se almacena en las preferencias.

      Downloading... pero no hoy

      La app no descarga nada el mismo día que el downloader ha sido instalado. Así evitará un "análisis dinámico". El usuario instalará entonces este "cambiador de voz", pero no notará nada extraño hasta, al menos, el día siguiente. Y entonces, el día después, se realiza otra comprobación. Dos de cada tres veces se visitará la URL mostrada en la imagen. Ahí un TXT apunta a otra app en Google Play, de forma que el atacante inunda con estos anuncios la pantalla.

      Pero la parte interesante ocurre cuando la app no entra en ese "if" y baja por el código. El método Gfveaqwfea comprueba la existencia de la app com.facebook. No es la app oficial de Facebook (es com.facebook.katana), sino el adware que será instalado posteriomente.


      La app comprueba si el dispositivo está configurado para instalar apps de fuera de Google Play. Esto es muy común en ciertos países donde el uso del mercado es limitado. También es una configuración común en los dispositivos de usuarios que instalan apps "no oficiales", así que en estos escenarios tendrá bastante éxito. Si es así, se descarga a.apk desde la URL mostrada en la imagen y se almacena como xxx.apk.




      El usuario no verá nada y no se le hará ninguna pregunta para la descarga. Entonces se ejecuta. Dependiendo de la configuración del dispositivo, si el usuario ha asociado automáticamente la ejecución a Verificar Apps o Instalar Directamente, se mostrará un diálogo de selección... o no. Cuando esta segunda app está siendo instalada, esto es lo que verá el usuario:


      Es importante recordar que esta es la imagen que aparecerá cuando el usuario desbloquee el teléfono, el día después de que fuera instalada la app original, y solo una de cada tres veces hasta que sea instalada... así que es bastante improbable que la víctima asocie la primera instalación del "cambiador de voz" por ejemplo, con esta "actualización" que parece legítima de Facebook. El icono es similar y el nombre lo hace aun más confuso.


      Esta nueva app descargada podría ser, literalmente, cualquier cosa. En este caso se hace pasar por Facebook, y el icono desaparece un segundo después de ser instalada. Si el usuario tiene el Facebook real en su teléfono, pensará que se está autoactualizando, y probablemente no le otorgue mayor importancia. Pero la realidad es que se trata de un adware muy agresivo que será instalado por el usuario gracias a este truco de ingeniería social.


      Conclusiones

      Los atacantes están especializándose cada vez más en que las apps lleguen a Google Play, y transformarlas luego en adware/malware a largo plazo. Esta operación a largo plazo les proporcionará más víctimas y estamos detectando este patrón cada vez más en apps maliciosas. El truco de ejecutar la app solo cuando el teléfono se desbloquea, otorga mayor "credibilidad" para la víctima.

      Con Path5, hemos identificado a la persona detrás de estos ataques (un programador polaco). Ha estado operando desde finales de 2014. En estos momentos están activas unas 20 apps suyas en Google Play, de unas 100 que ha subido en las últimas semanas. La app que acabamos de analizar es us.free.voice.changer.funny.voices.lolapps, con el SHA1: c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61

      Las que parecen ser del mismo programador, usando técnicas similares, y todavía están online son:

      • TV remote controller, us.tv.remote.pilot.television.free.tool2, 88287f102bbd9cf3a3e5e7601b5bc8ee760d4525
      • Faster Wifi PRANK, us.phonehelper.wifi.booster.free, 74b2cc8d95c001832a4d4fb11ea3cb9638daf5e8
      • Visión nocturna gratis, us.night.vision.nightvision.free.useit, 1606ce1f616e3ba29ac021e4ce1ac1cb5e84b7a4
      • Funny voice changer, us.free.voice.changer.funny.voices.lolapps,c0eb7cde5a1b3818a1d7af2f580f8ea3fa1e8d61
      • Fake phone call, us.free.fake.call.caller.lolapps, 3b0a2b88effd264235e75984cea3bc77a6304e8b
      • Fake connection, us.fake.call.caller.free.usapps, 2f3c8a8cd1e5ecdad0e348484c72f25aff45d755
      • Faster internet PRANK, us.phonehelper.internet.booster.free, c2b083d0ce9d13e8df2f680f2901cd54778d385e
      • Increase battery life PRANK, us.phonehelper.battery.booster.free, 4890c7437268b65ef376515047c13e0eecffdd9a
      • Funny voice changer, us.free.voice.changer.funny.voices.lolapps, a97c7f6669c41ead0ba54928ebe2cad5ba706bc5
      • Transparent phone HD, us.transparent.screen.diaphanous.phone.lolapps, 64e44c0d234f96eff5f0e44305d25b35242b0e51
      • Flash-Player installation, us.flashapps.free.flashplayer, 9f0c9145f2a265d476b936830fa9dde3d024eab6
      • Diáfano teléfono (gratis),us.transparent.screen.diaphanous.phone.free.smartools,c6c2617f7cf512669f553876939e5ca367c9e746
      • Increase volume sound PRANK, us.phonehelper.sound.booster.free, 3e360ee39146cbd834280c18d656e3e9f6d0df2f
      • Termómetro electrónico gratis, us.digital.electronic.thermometer.free.measure.temperature.temp, 722f7f2c10c4b656ded858cf9f91a8c55ea226b6
      • Ski jumping 2015, us.ski.jumping.free.game.full.sportgames, 638a1c331e76bec73b1a46a451e4d1de6cd20879
      • FlashPlayer, us.flashapps.free.flashplayer2, 9f7aa1bc90770748681b08e3ee63dcb974195f7a
      • Falsa llamada entrante, us.free.fake.call.caller.smartools, fb9c05094eb1fdcfa8aec07eeff1e95ee7814e76
      • Increase network signal PRANK,us.phonehelper.signal.booster.free,495b151c5e709bfa50c671c8fb93cbeaee29e025
      • Control remoto para la TV, us.tv.remote.pilot.television.free.tool, dbfd108973388d6c1a506ac68b79463df8271f5c
      • Fake phone call, us.free.fake.call.caller.lolapps, e96d2ab7d8d0c7990be07bd42b9e9bc079e70f3a
      • Tonos para Navidad, us.christmas.ringtones.free.carols.mp3.ringtonedownloader, fa57543faf60073f56041caee0f1524cfc9f77dd



      Fuente: Eleven Paths
      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de carlosotero
      Registrado
      mar 2010
      Ubicación
      PUERTO RICO,USA
      Mensajes
      143

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Cita Originalmente publicado por Woaxxx Ver Mensaje
      Gracias amigos por sus comentarios, les dejo más información al respecto.


      saludos.
      Con tanto virus mejor y me compro el iphone 6 plus

    9. #9
      Usuario Avatar de Chelusa
      Registrado
      dic 2014
      Ubicación
      argentina
      Mensajes
      111

      Re: Nuevo Adware en Android hallado en Google Play más agresivo que nunca

      Cita Originalmente publicado por carlosotero Ver Mensaje
      Con tanto virus mejor y me compro el iphone 6 plus
      COMPRATE lo que quieras, pero ningun dispositivo es invulnerable ni tampoco esta fuera del posible TARGET, pensalo...que dispositivos o marcas o cosas buscan los ladrones? equipos de re nombre, aplicacion legales ni hablar que el target es a lo mas "masivo posible" windows, android , puff por mas que las aplicaciones sean "pagas" eso no hace que no sean hackeables , ni hablar que la mayoria de las app las INSTALA el usuario y no la empresa del cel. xD