Hace unos días atrás el Android Market de Google fue nuevamente afectado por códigos maliciosos en donde aplicaciones disponibles para los usuarios se encontraban troyanizadas. En esta ocasión se estaba propagando a través de distintas aplicaciones un troyano que roba información de los usuarios de Android.

Una de las aplicaciones detectadas con este código malicioso decía ser un unlocker para el conocido juego Angry Birds Rio, que le permitiría al usuario acceder a todos los niveles. Debido a esto la amenaza tuvo un gran impacto haciendo uso de la Ingeniería Social, el usuario que caía víctima de este engaño instalaba la aplicación maliciosa en su dispositivo sin saber que su información estaría siendo enviada al atacante.

Robo de información

Lo que realmente sucede con esta aplicación publicada bajo el nombre "Angry Birds Rio Unlocker" es que contiene dentro de ella un troyano detectado como Android/Plankton que se contacta con una ubicación remota y envía información del usuario o recibe comandos para actualizar su comportamiento. Estas características lo convierten en un malware del tipo bot, que le permiten al atacante acceder a información en el dispositivo como por ejemplo contactos, historial de navegación e instalación de accesos directos.

Cuando se inicia el unlocker el usuario estaría sólo a un clic de poder acceder a todos los niveles pero en realidad lo que sucede es que su información está siendo enviada a un servidor remoto. En primera instancia el código malicioso se reporta enviando los datos del dispositivo como la marca, modelo, id del equipo entre otros datos. Luego de la primera comunicación con el servidor se comienzan a recibir los comandos que el bot ahora ejecutara reportándose al Centro de control de la botnet.

Primer reporte al centro de control

La comunicación con el panel de control es constante y en cada respuesta recibida, se especifica en cuanto tiempo se debe volver a realizar la siguiente comunicación con el mismo. De esta manera el atacante mantiene un reporte constante del equipo infectado. Plankton no es el primer código malicioso que presenta características de este tipo para la plataforma móvil de Google, anteriormente hemos reportados casos cómo el de Geinimi que presenta un comportamiento similar.

Cuando un equipo es infectado por este tipo de amenazas, se genera un reporte al panel de administración para confirmar la activación de la amenaza y esperar por instrucciones. Estamos hablando de una amenaza dinámica, que deja el dispositivo en manos del atacante, quien podría tomar el control del mismo como sucede con los equipos de escritorio infectados con códigos maliciosos del tipo bot.

Una vez mas el Android Market ha sido objetivo de los desarrolladores de códigos maliciosos para propagar sus amenazas, y lograr así llegar a una mayor cantidad de usuarios. Angry Birds Rio cuenta con más de 10.000.000 de descargas, y quizás sea uno de los principales motivos por el cual ha sido seleccionado para propagar a esta amenaza. A todos aquellos que todavía no conozcan el juego les dejamos una imagen del mismo:

Aplicación troyanizada en el Android Market

Recuerden: un usuario siempre debe contar con buenas prácticas para el uso de dispositivos móviles en conjunto con una solución de seguridad para poder así identificar este tipo de amenazas y mantener su equipo protegido. Android es una de las plataformas para smartphone más utilizadas del mercado y es debido a ello que está siendo foco de los desarrolladores de códigos maliciosos.

Pablo Ramos
Especialista en Awareness & Research