RootSmart: Continua el goteo de amenazas para Android

En las últimas semanas la aparición de malware para otras plataformas distintas de Windows no ha sido algo exclusivo de Mac OS. Llevamos meses observando como el número de amenazas para el sistema Android sigue aumentando preocupantemente y con visos de seguir haciéndolo.

Una de las amenazas más recientes, y que responsables del departamento de Ciencias de la Informática de la Universidad de Carolina del Norte analizan en profundidad, se ha dado a conocer como RootSmart. Este malware parece una evolución de GingerMaster, otra amenaza que el verano pasado se aprovechó de una vulnerabilidad crítica de Android 2.3 (Gingerbread) con la finalidad de obtener privilegios de root en el sistema infectado.

A diferencia de GingerMaster, esta nueva amenaza no incluye directamente el exploit dentro de la aplicación maliciosa, si no que lo descarga desde un servidor remoto para luego ejecutarlo y realizar la escalada de privilegios. Cómo vemos en la imagen, el icono de la aplicación maliciosa es idéntico al de la configuración del sistema y, una vez instalada, monitoriza cualquier evento que lo active (como una llamada) para instalar de forma silenciosa el malware en sí.

Una vez realizado este paso, el malware descarga el exploit Gingerbreak y lo ejecuta para obtener permisos de root en el sistema. De esta forma tendrá la capacidad de instalar más códigos maliciosos y conectarse a un centro de control al que enviará información y desde el que recibirá órdenes. Es esta habilidad de instalarse de forma silenciosa aprovechando una vulnerabilidad grave y de conectarse a un centro de control la que convierte a esta amenaza en especialmente peligrosa para los usuarios de Android.

Debido a que su propagación se ha observado únicamente en Markets alternativos al oficial, desde el laboratorio de ESET en Ontinet.com recomendamos desconfiar de aquellas aplicaciones descargadas de sitios no oficiales, así como revisar los permisos que solicitan las aplicaciones al instalarse y estar atentos por si observamos que alguna aplicación tiene un comportamiento extraño.

Josep Albors
@JosepAlbors

Nuevos ataques dirigidos a grandes empresas y gobiernos