Vuelve a ser día de amenazas para Android, porque hoy nos toca hablar de un adware de lo más sofisticado: aplicaciones que consiguen permisos root por sí mismos para instalarse en el sistema, y mostrarnos anuncios no deseados.
Seguramente muchos estáis familiarizados con el adware, una clase de código malicioso que se especializa en mostrarnos anuncios y anuncios en cualquier parte. Como os imaginaréis, esta clase de aplicaciones y programas son un buen incordio para los usuarios, el ver anuncios porque sí nunca ha sido plato de buen gusto, aunque no sean las amenazas más peligrosas en la escala.
El problema es que estas amenazas evolucionan para atacar más usuarios que nunca, y hoy hemos descubierto una clase bastante peligrosa de adware, como podemos leer en el comunicado que Lookout ha publicado en su blog oficial. Para ser exactos, estamos hablando de un troyano capaz de hacer root por sí sólo, con el objetivo de hacerse aplicación del sistema y complicar su borrado.
Entrando en datos técnicos, se trata de una variante de la familia Shuanet, especializada en rootear el dispositivo por sí misma para ocultarse en el directorio del sistema. Se combina con otros dos vectores de ataque –ShiftyBug y Shedun– para ser capaz de rootear el mayor número de dispositivos posibles, se integra como aplicación del sistema una vez lo consigue, y comienza a enviarnos anuncios desde cualquier aplicación.
En los casos que han analizado Lookout, la manera de entrar en los dispositivos ha sido relativamente sencilla: los atacantes han modificado hasta 20.000 aplicaciones conocidas, dejándolas intactas en funciones para que el usuario no sospeche, y las han subido a tiendas y repositorios de aplicaciones alternativos. El usuario descarga la aplicación pensando que es la original, comprueba que funciona como la original, y no sospecha que esa misma aplicación es la que le está colando anuncios.
Lo curioso del asunto es eso de que, aunque nosotros tengamos el dispositivo intacto, la aplicación pueda conseguir el acceso root por sí misma, para así colarse entre las aplicaciones del sistema y complicar su borrado cuando nos percatemos. Las vulnerabilidades que se aprovechan para que nosotros hagamos root a nuestros dispositivos, aprovechadas por aplicaciones maliciosas para colarse en nuestro sistema, en otras palabras.
Por sí mismas, las aplicaciones modificadas no son un verdadero peligro para nuestros datos, aunque podrían serlo en un futuro cercano. Sólo es cuestión de que otras amenazas aprovechen esta misma técnica para rootear sin conocimiento del usuario, y podríamos ver ataques muy sofisticados en los que perdamos datos, o nos los borren para chantajearnos, el llamado ransomware que está de actualidad en ordenadores.
Por otra parte, el grueso de usuarios infectados se concentra en EEUU, Alemania, Irán, Rusia, India, Jamaica, Sudán, Brasil, México e Indonesia. No parece que España tenga muchos usuarios afectados, aunque las recomendaciones para librarse de esto son más propias de usuarios avanzados que de usuarios de a pie: conseguir nosotros acceso root para borrar la «aplicación de sistema» responsable, flashear una imagen de fábrica original en el dispositivo para dejar el Android como nuevo, o incluso ir a comprarse otro, como la propia Lookout llega a recomendar de manera exagerada.
Respecto a evitar la infección, los consejos son mucho más sencillos. A la hora de instalar aplicaciones, confía sólo en Google Play y otras tiendas de aplicaciones con reputación, y trata de descargar aplicaciones que procedan de desarrolladores conocidos. Eso y el sentido común debería mantenernos lejos de estas amenazas.
Imagen | Shutterstock