Nuevos Virus Android

Gonfu.D

Troyano para dispositivos Android que trata de explotar una vulnerabilidad de escalado de privilegios.

 

Detalles técnicos

• Nombre completo del virus: Trojan.Android/Gonfu.D
• Tipo de código: Trojan Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo.
• Plataformas afectadas: Android Android INP Independiente de la Plataforma
• Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del sistema
• Alias:
  • Android.Gonfu.D (Symantec)

 

Infección/Efectos

Cuando Gonfu.D se ejecuta, realiza las siguientes acciones:

Método de infección

El troyano puede llegar como uno de los siguientes paquetes:

• APK:
  • com.rovio.new.ads
  • com.rovio.new.ads.apk
• Versión: 1.1.2
• Nombre: todo

Al ser instalado solicita los siguientes permisos:

• Acceso a información de localización como Cell-ID o WiFi.
• Lectura de archivos de log del sistema de bajo nivel.
• Escritura a almacenamiento externo.
• Acceso a información sobre redes.
• Acceso a información sobre redes WiFi.
• Sockets de red abiertos.
• Acceso al estado del teléfono.

Y trata de explotar la vulnerabilidad de escalado de privilegios en Android Open Handset Alliance (BID 48238).

El troyano trata de conectarse a los siguientes servidores de comando y control (C&C):

• [http://]ad.pandanew.com:8511/sea[ELIMINADO]
• [http://]ad.phonego8.com:8511/sea[ELIMINADO]
• [http://]ad.my968.com:8511/sea[ELIMINADO]

Además, modifica el siguiente archivo para ejecutarse al encender el dispositivo:

• /system/bin/svc

Y el siguiente fichero con información de configuración:

• /system/build.prop

El troyano establece la siguiente propiedad del sistema a 0 para que una sóla instancia del troyano se ejecute:

• r0.bot.run

Sobreescribe los siguientes archivos con una copia de sí mismo:

• /system/bin/rm
• /system/bin/move
• /system/bin/mount
• /system/bin/ifconfig
• /system/bin/chown
• /system/bin/debuggerd
• /system/bin/vold

 

Contramedidas

Desinfección

Para eliminar el troyano, debe desinstalar el paquete siguiendo los siguientes pasos:

• Abra el Menú de Google Android.
• Haga click en el icono de configuración y después en el de aplicaciones.
• Haga click en gestionar.
• Seleccione el paquete y haga click en el botón desinstalar.

A continuación:

• Instale un antivirus actualizado en su dispositivo Android.
• Compruebe con el antivirus actualizado que su dispositivo Android está libre de virus.