Aplicaciones robadas publicadas en el Market se apoderan del celular, roban información y abren puertas traseras.

Transparencia, la característica propia de Android que hace que nos encante, es una espada de doble filo. Lompolo del blog Reddit ha tropezado con un ejemplo perfecto de ese hecho, se ha dado cuenta de que un editor ha tomado “… 21 aplicaciones gratuitas populares del mercado, les inyectó [a cada una] un root exploit y las volvió a publicar.” ¿La parte que realmente da miedo? “en conjunto se descargaron de 50.000 a 200.000 veces durante 4 días.

Lompolo explica muy bien la situación:

El enlace a las aplicaciones de este editor está aquí. Solo me tropecé por casualidad con una de las aplicaciones, la reconocí y me di cuenta que el editor no era quien se suponía que fuera.
Super Guitar Solo por ejemplo es originalmente Guitar Solo Lite. Descargué las dos aplicaciones y extraje los APK’s, ambos contenían lo que parece ser el root exploit “rageagainstthecage” – el código binario contiene la cadena “CVE-2010-EASY Android local root exploit (C) 2010 by 743C“. No se lo que hace en realidad la aplicación, pero no puede ser bueno.
Aprecio la capacidad para publicar una actualización de una aplicación y que la actualización esté disponible al instante, pero esto da un poco de miedo. Sería bueno algún tipo de moderación, o al menos una reacción más rápida por las quejas sobre malware.
EDICIÓN: Después de revisar un poco, parece ser que la aplicación publica los códigos de IMEI e IMSI en http://184.105.245.17:8080/GMServer/GMServlet, que parece estar ubicado en Fremont, California.

Le pedí a nuestro hacker interno que echara un vistazo al código, y verificó que se consigue acceso root del dispositivo del usuario mediante el exploid y rageagainstthecage. Pero esa es solo la punta del iceberg: hace más que solo sacar el IMEI e IMSI. Hay otro APK oculto dentro del código, y este roba prácticamente todo: el ID del producto, modelo, proveedor, idioma, país y el ID de usuario. Pero eso solo es juego de niños; la verdadera pieza de la resistencia es que tiene la capacidad de descargar más código. En otras palabras, no hay forma de saber lo que hace la aplicación después que fue instalada, y las posibilidades son infinitas.

Justin notificó a un contacto que tiene en Google sobre este tema. Durante el tiempo en que comprobabamos lo explicado en esta nota, ellos también verificaron y planean sacarlas del Market [Actualización: Cielos, ¡ya las sacaron! ¡Les tomó menos de 5 minutos desde el primer contacto para que las sacaran!], y también eliminarlas remotamente de los dispositivos de los usuarios. Desafortunadamente, eso no quita ningún código que ya hubiera entrado por la puerta trasera.

Esperemos que sean rápidos para reaccionar – este es el máximo troyano Android hasta la fecha, y ya se descargó más de 50.000 veces. Sea libre de discutir el tema en los Droid Forums, o mediante los comentarios más abajo.
Actualización: El editor fue eliminado por completo del Market, de modo que ya no podrá ve su lista de aplicaciones. Afortunadamente, me las arreglé para sacar unas capturas de pantalla anoche. Hubo toneladas de respuestas a esto, y hemos sido contactado por algunos perros grandes. Justin está trabajando en una herramienta de eliminación. Seguiré actualizado este post por la noche.

Izquierda la aplicación real. Derecha: la veriosn de Myournet infectada.

Las (21) aplicaciones (apps) culpables del editor Myournet:

  • Falling Down
  • Super Guitar Solo
  • Super History Eraser
  • Photo Editor
  • Super Ringtone Maker
  • Super Sex Positions
  • Hot Sexy Videos
  • Chess
  • 下坠滚球_Falldown
  • Hilton Sex Sound
  • Screaming Sexy Japanese Girls
  • Falling Ball Dodge
  • Scientific Calculator
  • Dice Roller
  • 躲避弹球
  • Advanced Currency Converter
  • App Uninstaller
  • 几何战机_PewPew
  • Funny Paint
  • Spider Man
  • 蜘蛛侠

Más de 30 fueron encontradas por Lookout:

  • owling Time
  • Advanced Barcode Scanner
  • Supre Bluetooth Transfer
  • Task Killer Pro
  • Music Box
  • Sexy Girls: Japanese
  • Sexy Legs
  • Advanced File Manager
  • Magic Strobe Light
  • 致命绝色美腿
  • 墨水坦克Panzer Panic
  • 裸奔先生Mr. Runner
  • 软件强力卸载
  • Advanced App to SD
  • Super Stopwatch & Timer
  • Advanced Compass Leveler
  • Best password safe
  • 掷骰子
  • 多彩绘画
  • Finger Race
  • Piano
  • Bubble Shoot
  • Advanced Sound Manager
  • Magic Hypnotic Spiral
  • Funny Face
  • Color Blindness Test
  • Tie a Tie
  • Quick Notes
  • Basketball Shot Now
  • Quick Delete Contacts
  • Omok Five in a Row
  • Super Sexy Ringtones
  • 大家来找茬
  • 桌上曲棍球
  • 投篮高手

[Segu-Info: Links relacionados]
Someone just ripped off 21 popular free apps from the market, injected root exploits into them and republished. 50k-200k downloads combined in 4 days.
Google elimina 21 aplicaciones de Android Market
Google elimina 21 aplicaciones de Android Market que distribuían malware
Google Pulls 21 Apps In Android Malware Scare
Want to get Malware on Android Phones? Publish an app!
Update: Android Malware DroidDream: How it Works

Traducción: Raúl Batista – Segu-Info
AutorAaron Gingrich
FuenteAndroid Police

Share

This entry was posted in malware, moviles, robo, seguridad. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.