Nueva variante de Plankton en el Android Market

A pesar de los reiterados intentos por parte del personal de Google por mantener segura la tienda en línea de su sistema operativo para móviles, Android Market; siguen apareciendo amenazas como la reportada por Appriva durante estos últimos días.

Las aplicaciones afectadas son algunas versiones de Baloon Game y Deal or BE Millionaire, entre otras. En este caso, las muestras son identificadas bajo el nombre de Android/Plankton por ESET NOD32 Antivirus.  Este troyano se conecta de forma remota con un servidor enviando un mensaje con los datos más importantes del dispositivo como el fabricante, modelo, ID y demás.

En el análisis se puede observar el momento en que se realiza la conexión entre el cliente infectado y el servidor, donde las partes ofuscadas son los datos del dispositivo de la víctima que se envían. Esta muestra, tiene un funcionamiento similar a otra de Plankton que ya había sido analizada en nuestros laboratorios. Allí, se mostraba cómo el código malicioso que infecta el dispositivo envía los datos antes mencionados a un servidor, transformando el aparato en un bot y luego queda a la espera de un mensaje. Este, contiene los comandos con los que se comunicarán el bot y el Panel de Control asociado.

Volviendo a este caso en particular, se agregaron algunos comandos nuevos como: history y update; sumado a los comandos de las versiones anteriores: bookmarks, shortcuts, homepage, notifications y command_status; que entre otras cosas permiten crear accesos directos en la pantalla principal, modificar la página de inicio o recolectar información de favoritos. A su vez, también se puede observar como la aplicación solicita permisos más allá de los necesarios para su funcionamiento, como por ejemplo, la lectura de información personal, modificación del historial de navegación y la navegación en Internet completa. Normalmente, el usuario tiene la posibilidad de explorar esos permisos antes de aceptar instalar la aplicación. Por eso, es importante que se preste mayor atención a estos, porque cada vez es más común ver casos en donde se notifica al usuario y luego se extrae información sensible tanto de sus dispositivos móviles como de sus computadoras.

Este tipo de amenazas, denominadas dinámicas, dejan el dispositivo en manos de los usuarios para poder realizar diversas actividades ilícitas, como por ejemplo, el robo de información, credenciales, etc. Para poder prevenirse, el usuario debería tomar dos precauciones fundamentales:

Además, sugerimos hacer uso de los siguientes consejos de seguridad para usuarios móviles para aprender acerca de las buenas prácticas recomendadas para estos dispositivos.

Raphael Labaca Castro
Especialista de Awareness & Research

Autor , ESET

  • Julian

    hola! recien bajé una app y Eset mobile android la detecto como plankton, y la desintalo. hay riesgo? o como no se ejecuto no?

    • Estimado Julian:

      Si la aplicación fue detectada es porque contenía código malicioso y, por eso, fue eliminada. Por lo tanto, no existe ningún riesgo para el dispositivo.

      Saludos,
      Raphael

  • julian

    muchísimas gracias! como siempre eset brilla en todo lo q hace! saludo!

  • Alonso

    Absolutamente todas las aplicaciones de Android Market de Google tienen malware, todas recopilan información sensible, datos de nuestros contactos, números telefónicos, ubicación geográfica e identidad de quien nos llama, incluso, este mensaje que dejo aquí en este instante.

    Es parte del intento de dominación mundial a través de las empresas públicas y privadas de espionaje de USA.

    Así que es un eufemismo usar antivirus contra todo. Utilizo el Avast Móvil en mi teléfono y tolera toda la variedad de los Android/Plankton.
    En realidad este viene en el crack o keygen de las aplicaciones pagas conseguidas en el mercado negro como gratuitas o full.

    Utilicemos lo que sea y siempre TODOS seremos espiados.

  • Hola Julian los productos de Eset, son muy buenos y ten por seguro que estad protegido, ya que desistala las aplicaciones maliciosas antes de que se ejecuten.

Síguenos