Proyectos, Noticias, Experiencias, pruebas...

Nuevos virus – Android

Gingermaster

Troyano para la plataforma Android que aprovechando una vulnerabilidad se establece como superusuario pudiendo instalar nuevo malware y enviando información del equipo infectado.

 

Detalles técnicos

Infección/Efectos

Cuando Gingermaster se ejecuta, realiza las siguientes acciones:

El troyano se propaga mediante la instalación de aplicaciones que incorporan de forma oculta el malware para su instalación en segundo plano.

Este troyano se aprovecha de la una vulnerabilidad en la versión Gingerbread del sistema operativo Android para utilizar los permisos de superusurario mediante una escalada de privilegios.

El paquete se instala con los siguientes permisos:

  • android.permission.READ_PHONE_STATE
  • android.permission.READ_LOGS
  • android.permission.DELETE_CACHE_FILES
  • android.permission.ACCESS_CACHE_FILESYSTEM
  • android.permission.WRITE_SECURE_SETTINGS
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.MOUNT_UNMOUNT_FILESYSTEMS
  • android.permission.READ_OWNER_DATA
  • android.permission.WRITE_OWNER_DATA
  • android.permission.WRITE_SETTINGS
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • com.android.launcher.permission.UNINSTALL_SHORTCUT
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.RESTART_PACKAGES

El troyano crea un servicio que roba información del terminal infectado enviando los mismos a un servidor remoto mediante peticiones HTTP. La información que se envía es:

  • Identificador de usuario
  • Número de tarjeta SIM
  • Número de teléfono
  • IMEI
  • IMSI
  • Resolución de pantalla
  • Hora local

El servidor responde enviando ciertos parámetros de configuración que incluyen la frecuencia y la URL de actualización.

En la carpeta de la aplicación el malware crea varios ficheros ejecutables enmascarados con la extensión .png para que su detección sea más complicada. Los nombres de los ficheros son:

  • gbfm.png
  • install.png
  • installsoft.png
  • runme.png

El malware también crea un fichero llamado gbfm.sh que contiene el código del exploit para la vulnerabilidad que permite la elevación de privilegios, lo cual le confiere capacidades ilimitadas.

Si la ejecución del script es correcta la partición del sistema se monta con permisos de escritura y de ese modo poder instalar varias utilidades que dificultan la detección del malware.

 

Recomendaciones

  • Evitar la descarga de aplicaciones de sitios no confiables o distintos del Market de Android.
  • No instalar aplicaciones que requieran más permisos de los que a priori necesitan.
  • Poner en conocimiento del operador de telefonía para que solucionen el problema.
  • Instalar la actualización que corrija este problema en cuanto el operador de telefonía tenga la versión corregida del sistema operativo.

No se han encontrado comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


*

    Translate to:

Categorías