Bombardeo de publicidad en Android
SonicWall dio a conocer que su motor Real Time Deep Memory Inspection - Inspección profunda de memoria, en tiempo real, o RTDMI - detectó recientemente un adware enfocado en las plataformas del sistema operativo Android, cuya afectación principal es que inunda al usuario de molestos anuncios de forma continua.
Este código malicioso aún no se encuentra catalogado por parte de portales de búsqueda de malware más populares como VirusTotal o Reversing Labs, con lo cual el fabricante demostró la efectividad de su tecnología RTDMI enfocada en localizar código malicioso que trata de evadir las herramientas de sandboxing.
El motor demostró que los atacantes reciben información del teléfono infectado para encontrar el método más rápido de inundar a sus víctimas. Para ello, utilizando la ingeniería social, logran convencer al usuario de descargar la app al teléfono Android; una vez instalada aparece como si se tratara de un panel de configuración, pero al seleccionar el ícono, éste desaparece.
Sin que sea evidente en el dispositivo, se comienzan a correr procesos en segundo plano y de manera oculta para el usuario final. El Adware guarda la información del dispositivo móvil dentro de un archivo llamado Config y aprovecha la conectividad disponible para enlazarse con una URL maliciosa a donde enviará la información personal, dentro de un archivo JSON, esto es un formato de texto ligero para el intercambio de datos.
Sonicwall investigó dicho archivo y encontró que los atacantes reciben información para identificar el tipo de conectividad de la víctima (Wi-Fi, datos móviles). Una vez que se ha establecido este parámetro, se abre inadvertidamente una URL en el dispositivo y comienza a recibir de manera constante la inundación de anuncios aleatorios. El fabricante de seguridad informática informó mediante su plataforma en la nube SonicWall Capture ATP, que el adware se compone de al menos 62 variantes de virus.
Algunas recomendaciones
SonicWall ayuda a proteger los dispositivos conectados en las redes corporativas gracias a sus sistemas de sanboxing, no obstante, sugerimos la adopción de las siguientes medidas para proteger los equipos móviles sobre Android:
- Tener desactivada la instalación de aplicaciones de origen desconocido, en el programa de ajustes menú Seguridad
- Instalar programas solo desde Google Play y aun así mirar las reseñas y la cantidad de veces que ha sido descargado.
- Revisar muy bien los permisos de las aplicaciones cuando un programa es instalado, si emplea sus contactos, localización, cámara, etc.
- Activar la opción Play Protect que se encuentra en Android usando el icono de Ajustes, buscar en la lista Google, y luego Seguridad
