Los investigadores de seguridad han ayudado a localizar 19 aplicaciones de la Google Play Store que una vez instaladas introducían en los móviles un malware (llamado de tipo rooting) que se hacía con el control de los móviles.
Descubierto por los investigadores de ciberseguridad de Lookout, este malware llamado AbstractEmu rooteó dispositivos Android infectados para realizar varias actividades maliciosas, como monitorizar notificaciones, hacer capturas de pantalla, grabar la pantalla e incluso restablecer la contraseña del dispositivo o bloquearlo por completo.
Según han afirmado los investigadores: "Al utilizar el proceso para rootear para obtener acceso privilegiado al sistema operativo Android, el atacante puede adjudicarse silenciosamente permisos peligrosos o instalar malware adicional, pasos que normalmente requerirían la interacción del usuario."
Las aplicaciones infectadas se camuflaron como apps de utilidad, como administradores de contraseñas, apps de ahorro de datos, lanzadores de aplicaciones (launchers), etc., y eran completamente funcionales. De las 19 aplicaciones que han sido eliminadas, los investigadores afirman que siete de ellas exhibieron capacidades de rooteo y una había sido descargada más de 10.000 veces.
Raro, pero peligroso
Los investigadores afirman que si bien este tipo de malware es cada menos habitual, AbstractEmu ha demostrado que este tipo de amenazas siguen ahí. También han dicho que les ha sorprendido cómo este malware ha esquivado las barreras defensivas mediante el uso de abstracción de código y comprobaciones anti-emulación.
Una vez que se mete en un dispositivo, AbstractEmu aprovecha uno de los cinco exploits (fragmentos de software que aprovechan vulnerabilidades del sistema) para brechas de seguridad de Android más antiguas para rootear y apoderarse del dispositivo. Después de obtener el control, recopila todo tipo de datos sobre el dispositivo, los envía a un servidor remoto y espera a recibir cargas de trabajo adicionales.
"En el momento del descubrimiento, el atacante que hay detrás de AbstractEmu ya había desactivado los servidores de control y comando necesarios para recuperar esta carga útil, lo que nos ha impedido conocer el objetivo final de los atacantes".
