Robo de información y exploits en Android

En lo que respecta al uso de aplicaciones para Android, hemos presentado en diversas oportunidades, cómo los códigos maliciosos son inyectados dentro de aplicaciones oficiales con el único objetivo de robar la información, o bien realizar acciones sin el consentimiento del usuario. Recovery Deluxe, es una aplicación cuya funcionalidad es la de recuperar las claves de las víctimas, pero para hacerlo utiliza un root exploit conocido como RageAgainstTheCage.

Como mencionábamos anteriormente este exploit, también fue utilizado por algunos de los códigos maliciosos que reportamos en otras oportunidades como DroidDream, DroidKungFu y BaseBridge. La finalidad de utilizar este conocido exploit, que funciona en Android 2.2 y versiones anteriores, es obtener privilegios de administrador con el objetivo de recuperar las contraseñas del usuario.

En el momento que el usuario instala la aplicación en su dispositivo y se dispone a ejecutarla, se comienza a ejecutar una serie de comandos que disparan el inicio del exploit. El mismo se encuentra oculto dentro de los recursos de la aplicación, puntualmente en el directorio “/data/data/com.pocketluxus.recovery/“, como lo podemos observar en la siguiente imagen:

Además, existen otros archivos que vienen dentro de los recursos de este código malicioso, que son utilizados tanto para almacenar la información recopilada, como así también para ejecutar una terminal en Android, con permisos de administrador, que es la encargada de recopilar los datos del usuario entre los que destacamos:

  •  Número de teléfono
  • Marca del dispositivo
  • Modelo del dispositivo
  • Contactos
  • Cuentas de correo electrónico

Una vez que los datos son recopilados, los mismos son enviados a un servidor remoto. Entre otras de las características particulares de esta aplicación maliciosa, nos encontramos con que una vez que logra ejecutar el exploit modifica los permisos de lectura y ejecución de archivos del sistema que contienen información sensible del usuario:

  • /data/system/accounts.db
  • /data/data/com.android.email/databases/EmailProvider.db
  • /data/data/com.android.providers.contacts/databases/contacts2.db
  • /data/data/com.android.providers.telephony/databases/mmssms.db

Este código malicioso supone ser una aplicación que le permite al usuario recuperar sus claves, pero en realidad lo que hace es recopilar sus datos para luego enviarlos a un servidor remoto. De esta manera, un usuario desprevenido podría entregar su información a un atacante cuando en realidad intentaba recuperar las contraseñas almacenadas en el dispositivo. Al analizar el log que deja la ejecución de esta aplicación se puede observar cómo se copia y se ejecuta el exploit dentro del sistema una vez que inicia el proceso de recuperación de datos:

En conclusión, estamos hablando de una amenaza que simulando ser una aplicación benigna,  no solo roba la información del usuario, sino que también explota una vulnerabilidad del sistema operativo que le permite ejecutarse con permisos de administrador. Por lo tanto, puede instalar otras amenazas en el dispositivo y acceder a la configuración del mismo. Para evitar que este tipo de amenazas se ejecuten en los teléfonos de los usuarios es recomendable contar con una solución de seguridad para dispositivos móviles además de buenas prácticas para su uso.

Pablo Ramos
Especialista en Awareness & Research

Autor , ESET

  • Pingback: de la red – 11/09/2011 | Notas tecnológicas()

  • Pingback: Robo de información y exploits en Android at BrainLabs News IT()

  • POHU

    robo, etc consiste en hostear o alojar una página web falsa, muy similar a la
    original de la entidad atacada, en un servidor controlado por el atacante. Actualmente, esta
    técnica es la más común y la más explotada para realizar ataques de phishing. A continuación, se
    presenta una página web de una entidad bancaria, que ha sido copiada, pero presenta algunas
    alteraciones con respecto a la original:

Síguenos