Lo que vas a encontrar...
Investigadores de seguridad han descubierto una campaña de malware de crecimiento continuo masivo que ya ha infectado a casi 5 millones de dispositivos móviles en todo el mundo.
Este malware ha sido llamado comoRottenSys, el malware que se disfrazó como una aplicación del ‘Servicio de Wi-Fi del sistema’ viene preinstalado en millones de teléfonos inteligentes nuevos fabricados por Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung y GIONEE, agregados en algún punto de la cadena de suministro.
Todos estos dispositivos afectados se enviaron a través de Tian Pai, un distribuidor de teléfonos móviles con sede en Hangzhou, pero los investigadores no están seguros de si la empresa tiene una participación directa en esta campaña de propagación.
Según Check Point Mobile Security Team, quien descubrió esta campaña, RottenSys es una pieza avanzada de malware que no proporciona ningún servicio seguro relacionado con Wi-Fi pero que toma casi todos los permisos sensibles de Android para habilitar sus actividades maliciosas.
«De acuerdo con nuestros hallazgos, el malware de RottenSys comenzó a propagarse en septiembre de 2016. Para el 12 de marzo de 2018, 4,964,460 dispositivos fueron infectados por RottenSys», dijeron los investigadores.
Para evadir la detección, la aplicación falsa de servicio de Wi-Fi del sistema viene inicialmente sin ningún componente malicioso y no inicia inmediatamente ninguna actividad maliciosa. En cambio, RottenSys ha sido diseñado para comunicarse con sus servidores de comando y control para obtener la lista de componentes necesarios, que contienen el código malicioso real.
RottenSys luego descarga e instala cada uno de ellos en consecuencia, utilizando el permiso «DOWNLOAD_WITHOUT_NOTIFICATION» que no requiere ninguna interacción del usuario.
Hackers han ganado $ 115,000 USD en solo 10 días
En este momento, la campaña masiva de malware añade un componente de adware a todos los dispositivos infectados que muestran agresivamente anuncios en la pantalla de inicio del dispositivo, como ventanas emergentes o anuncios de pantalla completa para generar ingresos publicitarios fraudulentos.
«RottenSys es una red publicitaria extremadamente agresiva. En los últimos 10 días, lanzó publicidades agresivas 13,250,756 veces (llamadas impresiones en la industria publicitaria) y 548,822 de las cuales se tradujeron en clics publicitarios», dijeron los investigadores.
Según los investigadores de CheckPoint, el malware ha generado a sus autores más de $ 115,000 USD solo en los últimos 10 días, pero los atacantes pueden «hacer algo mucho más dañino que simplemente mostrar anuncios no invitados».
Dado que RottenSys ha sido diseñado para descargar e instalar cualquier componente nuevo de su servidor de C&C, los atacantes pueden militarizar fácilmente o tomar el control total de millones de dispositivos infectados.
La investigación también reveló algunas pruebas de que los atacantes de RottenSys ya comenzaron a convertir millones de esos dispositivos infectados en una red masiva de botnets.
Se han encontrado algunos dispositivos infectados que instalan un nuevo componente de RottenSys que brinda a los atacantes habilidades más amplias, incluida la instalación silenciosa de aplicaciones adicionales y la automatización de la UI.
«Curiosamente, una parte del mecanismo de control de la botnet se implementa en las secuencias de comandos Lua. Sin intervención, los atacantes podrían volver a utilizar su canal de distribución de malware existente y pronto tomar el control de millones de dispositivos», señalaron los investigadores.
Esta no es la primera vez que los investigadores de CheckPoint encuentran marcas de primer nivel afectadas por el ataque de la cadena de suministro.
El año pasado, la firma encontró un teléfono inteligente perteneciente a Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, infectado con dos piezas de malware preinstalado (Loki Trojan y SLocker mobile ransomware) diseñadas para espiar a los usuarios.
¿Cómo detectar y eliminar Android Malware?
Para verificar si su dispositivo está infectado con este malware, vaya a la configuración del sistema de Android → Administrador de aplicaciones, y luego busque los siguientes posibles nombres de paquetes de malware:
- com.android.yellowcalendarz (每日 黄 历)
- com.changmi.launcher (畅 米 桌面)
- com.android.services.securewifi (系统 WIFI 服务)
- com.system.service.zdsgt
Si alguno de los anteriores está en la lista de sus aplicaciones instaladas, simplemente desinstálelo.
