¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Nubosidad de Android

Туманность Андроида

Otras ediciones de este tema (23)
  • añadir a favoritos
    Añadir a marcadores

Los agentes de la Matrix tampoco son tan ingeniosos

Consultas: 1078 Comentarios: 9 Ranking: 14

lunes, 29 de julio de 2019

Corren los rumores. Esta vez sobre un virus que infectó 25 millones de dispositivos en Android.

El virus Agent Smith infectó 25 millones de dispositivos bajo la administración del SO Android.

Este software sin que el usuario lo note infecta el dispositivo y sustituye el software ordinario por clones nocivos que visualizan mucha publicidad.

Fuente

Nuestros lectores habituales saben que no existen virus para Android (software nocivo que puede colocar el código nocivo en otras aplicaciones). Una amenaza típica para Android OS son los programas troyanos. Para infectar un dispositivo, se requiere que alguien instale un software nocivo en el mismo. Pero ¿será que nos equivocamos y los virus existen? Vamos a seguir leyendo el artículo:

Una vez instalada la aplicación móvil por la víctima, empezaba a funcionar este componente que descargaba e instalaba otro paquete de aplicaciones con un programa nocivo Agent Smith.

Como ya hemos mencionado, es un troyano típico y es interesante solo porque no empezaba a causar daño enseguida una vez instalada aplicación, sino solo una vez descargadas las actualizaciones a la misma.

Un troyano recién instalado (y actualizado) se camufla en el sistema por un software legal, por ejemplo, Google Updater, Google Installer for U, Google Powers, Google Installer) y oculta su icono. Luego Android.InfectionAds.1 (así se llama este programa en clasificación Dr.Web) se conecta al servidor de control y recibe del mismo un listado de programas que debe infectar. Si no puede conectarse al centro remoto, infecta las aplicaciones indicadas en su configuración inicial. Luego el troyano comprueba si las aplicaciones indicadas están en el dispositivo.

Al localizarlas, el troyano añade sus componentes a la estructura de los archivos apk indicados sin cambiar su firma digital. Luego instala las versiones modificadas de aplicaciones en vez de originales. Como por causa de la vulnerabilidad la firma digital de los archivos infectados sigue siendo la misma, los programas se instalan como si fueran sus propias actualizaciones.

Es importante que para el sistema estas “actualizaciones” posiblemente se considerarán seguras porque el código nocivo fue implementado en las mismas sin dañar la firma digital. Para eso se usa la vulnerabilidad Janus (CVE-2017-13156) que permite añadir el código nocivo en el paquete de instalación (APK) sin dañar su integridad y, por lo tanto, la firma digital.

Frecuentemente se firma o todo el archivo, sino su parte. Los objetivos pueden ser varios. Por ejemplo, si un archivo es grande, el cálculo de la suma de comprobación puede llevar un rato. O si una parte del archivo tiene datos importantes y los firmamos, y la parte informativa del archivo contiene datos sobre el contenido y puede ser creada ya una vez firmado.

Fuente

La vulnerabilidad CVE-2017-13156 le permite al malintencionado implementar en las aplicaciones un código nocivo sin afectar a la parte firmada del archivo.

Fuente

El aspecto del paquete modificado para os sistemas que verifican la firma es igual que antes.

Así mismo, la instalación también se realiza a través de la vulnerabilidad EvilParcel sin autorización del usuario. Como resultado, los programas atacados siguen funcionando bien, pero contienen una copia de Android.InfectionAds.1 que funciona junto con los mismos de forma invisible. Al infectar las aplicaciones, el troyano puede acceder a sus datos. Por ejemplo, al infectar WhatsApp ― la mensajería del usuario, y al infectar el navegador ― los nombres de usuario y las contraseñas guardadas en el mismo.

Fuente

E problema es que la vulnerabilidad Janus fue corregida solo para el SO Android 7 y superior. Y este troyano es más frecuente en Android 5.0 и 6.0.

#Android #móvil #actualizaciones_de_seguridad #software_de_publicidad #vulnerabilidad #firma_digital #exploit

El mundo de antivirus recomienda

  1. No hay que preocuparse. La noticia sobre Android.InfectionAds.1, posteriormente llamado Agent Smith, la publicamos el 12 de abril. Los usuarios de Dr.Web están protegidos de los agentes de la Matrix :-)
  2. Agent Smith – es un software de publicidad. Un usuario puede no notar que la publicidad es un poco distinta o que ya hay más publicidad. Se requiere un antivirus para detectar y eliminar este software.
  3. Se puede comprobar si un software nocivo puede usar en su dispositivo la vulnerabilidad Janus a través del Administrador de vulnerabilidades Dr.Web que forma parte de Dr.Web Security Space para Android.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios