Gonfu.D
Troyano para dispositivos Android que trata de explotar una vulnerabilidad de escalado de privilegios.
Detalles técnicos
Infección/Efectos
Cuando Gonfu.D se ejecuta, realiza las siguientes acciones:
Método de infección
El troyano puede llegar como uno de los siguientes paquetes:
- APK:
- com.rovio.new.ads
- com.rovio.new.ads.apk
- Versión: 1.1.2
- Nombre: todo
Al ser instalado solicita los siguientes permisos:
- Acceso a información de localización como Cell-ID o WiFi.
- Lectura de archivos de log del sistema de bajo nivel.
- Escritura a almacenamiento externo.
- Acceso a información sobre redes.
- Acceso a información sobre redes WiFi.
- Sockets de red abiertos.
- Acceso al estado del teléfono.
Y trata de explotar la vulnerabilidad de escalado de privilegios en Android Open Handset Alliance (BID 48238).
El troyano trata de conectarse a los siguientes servidores de comando y control (C&C):
- [http://]ad.pandanew.com:8511/sea[ELIMINADO]
- [http://]ad.phonego8.com:8511/sea[ELIMINADO]
- [http://]ad.my968.com:8511/sea[ELIMINADO]
Además, modifica el siguiente archivo para ejecutarse al encender el dispositivo:
Y el siguiente fichero con información de configuración:
El troyano establece la siguiente propiedad del sistema a 0 para que una sóla instancia del troyano se ejecute:
Sobreescribe los siguientes archivos con una copia de sí mismo:
- /system/bin/rm
- /system/bin/move
- /system/bin/mount
- /system/bin/ifconfig
- /system/bin/chown
- /system/bin/debuggerd
- /system/bin/vold
Contramedidas
Desinfección
Para eliminar el troyano, debe desinstalar el paquete siguiendo los siguientes pasos:
- Abra el Menú de Google Android.
- Haga click en el icono de configuración y después en el de aplicaciones.
- Haga click en gestionar.
- Seleccione el paquete y haga click en el botón desinstalar.
A continuación:
- Instale un antivirus actualizado en su dispositivo Android.
- Compruebe con el antivirus actualizado que su dispositivo Android está libre de virus.
0 comentarios
Deja un comentario