A pesar de los reiterados intentos por parte del personal de Google por mantener segura la tienda en línea de su sistema operativo para móviles, Android Market; siguen apareciendo amenazas como la reportada por Appriva durante estos últimos días.

Las aplicaciones afectadas son algunas versiones de Baloon Game y Deal or BE Millionaire, entre otras. En este caso, las muestras son identificadas bajo el nombre de Android/Plankton por ESET NOD32 Antivirus.  Este troyano se conecta de forma remota con un servidor enviando un mensaje con los datos más importantes del dispositivo como el fabricante, modelo, ID y demás.

En el análisis se puede observar el momento en que se realiza la conexión entre el cliente infectado y el servidor, donde las partes ofuscadas son los datos del dispositivo de la víctima que se envían. Esta muestra, tiene un funcionamiento similar a otra de Plankton que ya había sido analizada en nuestros laboratorios. Allí, se mostraba cómo el código malicioso que infecta el dispositivo envía los datos antes mencionados a un servidor, transformando el aparato en un bot y luego queda a la espera de un mensaje. Este, contiene los comandos con los que se comunicarán el bot y el Panel de Control asociado.

Volviendo a este caso en particular, se agregaron algunos comandos nuevos como: history y update; sumado a los comandos de las versiones anteriores: bookmarks, shortcuts, homepage, notifications y command_status; que entre otras cosas permiten crear accesos directos en la pantalla principal, modificar la página de inicio o recolectar información de favoritos. A su vez, también se puede observar como la aplicación solicita permisos más allá de los necesarios para su funcionamiento, como por ejemplo, la lectura de información personal, modificación del historial de navegación y la navegación en Internet completa. Normalmente, el usuario tiene la posibilidad de explorar esos permisos antes de aceptar instalar la aplicación. Por eso, es importante que se preste mayor atención a estos, porque cada vez es más común ver casos en donde se notifica al usuario y luego se extrae información sensible tanto de sus dispositivos móviles como de sus computadoras.

Este tipo de amenazas, denominadas dinámicas, dejan el dispositivo en manos de los usuarios para poder realizar diversas actividades ilícitas, como por ejemplo, el robo de información, credenciales, etc. Para poder prevenirse, el usuario debería tomar dos precauciones fundamentales:

Además, sugerimos hacer uso de los siguientes consejos de seguridad para usuarios móviles para aprender acerca de las buenas prácticas recomendadas para estos dispositivos.

Raphael Labaca Castro
Especialista de Awareness & Research