Más malware para Android: Plankton, YZHCSMS y DroidKungFu

Lamentablemente, parece que el “mercado” de malware para Android está en expansión. Si hace poco hablábamos de DroidDream Light, una nueva variante de DroidDream, en esta ocasión tenemos tres nuevos casos: Plankton, YZHCSMS y DroidKungFu.

Entre lo malicioso y lo legal

Aunque los dos primeros fueron marcados en primera instancia como virus por sus descubridores, investigadores de la Universidad Estatal de Carolina del Norte (NCSU), Tim Strazzere de Lookout Security nos ha explicado que en realidad caerían en una zona gris, dado que las aplicaciones que los implementan tiene un comportamiento más parecido a spyware agresivo con firmes comerciales, que malware como tal.

En el caso de Plankton, las aplicaciones que lo incorporan recogen el historial de navegación de los terminales y otros datos, e insertan bookmarks sin el consentimiento del usuario. Sin embargo, en sus términos de uso especifican que las aplicaciones se comportaran de dicha forma. Por su parte, YZHCSMS recoge números de SMS de pago de un servidor remoto, y cada 50 minutos envía un mensaje a uno de dichos números, eliminando a continuación todo rastro de la transacción.

Según Lookout Security, aunque los comportamientos descritos no son para nada deseables, tampoco pueden ser tachados como malware tradicional. Esta afirmación se basaría en que en ningún momento aprovechan ningún exploit de los terminales para acceder a datos que no sean accesibles para cualquier aplicación, previa aceptación de los permisos correspondientes por parte del usuario. A pesar de ello, Google ya ha eliminado las aplicaciones del Market que contenían el código de Plankton, y YZHCSMS está presente principalmente en markets alternativos.

Las aplicaciones retiradas del Android Market por presentar el código de Plankton son las siguientes:

* Shake To Fake (Fake call)
* Angry Birds Rio Unlock
* Angry Birds Cheater
* Angry Birds Multi User!
* Favorite Games Backup
* Call Ender
* Bring Me Back My Droid!
* Chit Chat
* Guess the Logo
* Snake Kaka

DroidKungFu

En este último caso, no hay dudas acerca de que estamos ante un virus. Este fue detectado el 31 de Mayo, y los principales antivirus para Android incorporaron su detección y protección ante él entre el 5 y el 6 de Junio. Para funcionar, aprovecha dos exploits presentes en Android 2.2.1 o anteriores, por lo que si tenéis una versión más nueva, no os tiene porque afectar. Además, de momento sólo ha sido detectado en aplicaciones orientadas al mercado chino, por lo que si no sabéis alguna de las variantes dialectales de dicha lengua, las probabilidades de que estéis infectados son mínimas 🙂

Dado que muchas de las aplicaciones tienen el nombre en chino, las fuentes sólo hacen referencia a los paquetes de dicha aplicación, y además señalan que ninguna de ellas se encuentra en el Android Market oficial, sino en markets no oficiales. La lista actual de las aplicaciones que contienen el código malicioso es la siguiente:

* com.aijiaoyou.android.sipphone (Fancy Chinese Talking)
* com.andhuhu.fengyinchuanshuo
* com.nineiworks.wordsXGN
* com.tutusw.phonespeedup
* com.sansec

No está de más recordar que antes de descargarnos una aplicación, es importante revisar si el desarrollador es de confianza, y si los permisos que requiere parecen lógicos para el cometido de la aplicación.

Aprovechamos la ocasión para agradecer a Tim Strazzere de Lookout Security que nos atendiera y facilitara información para la redacción de esta entrada.

Vía: The Lookout Blog, Juniper Global Threat Center
Fuente original: Department of Computer Science, NC State University

22 comentarios sobre “Más malware para Android: Plankton, YZHCSMS y DroidKungFu

  1. Pingback: Bitacoras.com
  2. Recuerdo la primera vez que cogí un Android, aún no había rastro de malware ni virus, pero ahí estaba Lookout, intentando dar valor a su producto…¿alguien tiene dudas sobre quién está detrás de la aparición de estos?, ¿a quién beneficia?

    Una lastima que estén deteriorando la gran imagen de este sistema operativo para su propio beneficio.

    Un saludo.

    Me gusta

  3. @Jesús: lo que esgrimes no es un argumento, es una falacia. Como a ellos les beneficia esa situación porque pueden vender su producto, entonces ellos tienen que estar detrá de los virus.

    El malware está ahí. Las compañías de antivirus no necesitan crear nada. Era cuestión de tiempo que el malware llegase a Android (como a cualquier otra plataforma).

    Y por cierto, tu acusación podría ser constitutiva de delito, dado que no tienes base y estás dañando la reputación de una empresa. Yo que tu vigilaba estos comentarios (a menos que realmente tengas pruebas, claro).

    Me gusta

  4. Buenos días Akelael,

    Lo únco que he expuesto en mi comentario es lo que mucha gente piensa desde que vio aparecer los programas antimalware y antivirus en el market y se preguntó ¿para qué?, ya que entonces no existían virus. Al parecer se te escapa el hecho de que el curso natural de los sucesos suele ser que aparezca el problema y después la solución, y no al revés.

    Pero evidentemente el hecho de que a alguien le beneficie una situación no es prueba de que la haya provocado. Por eso NO LANZO ACUSACIÓN ALGUNA, lo único que lanzo son preguntas. Y este hecho no es constitutivo de delito a no ser que sea ilegal hacer que la gente se pregunte cosas.

    En cambio, tu frase diciendo que esgrimo una falacia, sí implica una acusación seria hacia mi persona.

    falacia.

    (Del lat. fallac?a).

    1. f. Engaño, fraude o mentira con que se intenta dañar a alguien.

    2. f. Hábito de emplear falsedades en daño ajeno.

    Por tanto me acusas de intentar causar daño ajeno de manera intencionada, sin ser esto cierto y careciendo de pruebas que te avalen. De manera que ahora soy yo quien te recomienda vigilar esos comentarios.

    Un saludo.

    Me gusta

  5. Hola Jesús,

    Antes de nada, no conocía esas ascepciones para falacia. En cualquier caso, la que pretendía usar no era ninguna de esas, sino esta: http://es.wikipedia.org/wiki/Falacia

    Y por otro lado, esto es una acusación: “Una lastima que estén deteriorando la gran imagen de este sistema operativo para su propio beneficio.” Aunque quizá yo no te he entendido bien, y te referías a los creadores de malware y no a Lookout.

    Me gusta

  6. Hola de nuevo Akelael,

    Pues si, las definiciones a las que nos debemos atener son las que dicta nuestra Real Academia en su diccionario. En fin, de cualquier modo, y al amparo de tu definición sacada de la Wikipedia, insinuas que mi patrón de razonamiento es malo o contiene un error, a lo cual te recuerdo mis palabras:

    “…el hecho de que a alguien le beneficie una situación no es prueba de que la haya provocado. Por eso NO LANZO ACUSACIÓN ALGUNA…”

    A mi me parece un razonamiento correcto.

    Respecto a lo que consideras acusación: “Una lastima que estén deteriorando la gran imagen de este sistema operativo para su propio beneficio.” Es una opinión expresada libremente, sin un destinatario concreto, al que, como indicas, ni si quiera tú sabrías identificar con certeza. Y como dá lugar a una libre interpretación dudo que pueda ser fuente de daño a la reputación de nada ni de nadie en concreto.

    Insisto, lo único de lo que se me puede acusar es de intentar que la gente se pregunte cosas e intente ver más allá, y ni tú ni nadie conseguirá que deje de hacerlo.

    Un saludo.

    Me gusta

  7. Hola Jesús,

    Esto también es una acusación, y peor que la que te he puesto antes: “¿alguien tiene dudas sobre quién está detrás de la aparición de estos?, ¿a quién beneficia?”. Y es falaz, dado que tratas de establecer una conexión entre la aparición del malware y el hecho de que Lookout tenga un producto para proteger contra estos.

    Todo lo demás que dices es pura palabrería.

    Saludos.

    Me gusta

  8. Buenas tardes Akelael,

    No por mucho repetirlo convertirás mis preguntas en acusaciónes dignas de causar daño.

    Lo único que hago es intentar que la gente se pregunte cosas y las analice de forma crítica, me parece triste que todavía haya personas a las que esto les moleste.

    Un saludo.

    Me gusta

  9. Jesús, estoy contigo, y me quito el sombrero delante de tus argumentos y la forma como lo expresas. Tranquilo que yo no creo que hayas lanzado ninguna acusación, y además me parece una reflexion estupenda, la que has hecho sobre el orígen del malware.

    El que creo que se ha pasado es Akelael cuando ha empezado con lo de “acusacion constitutiva de delito”… pero esto que es?! xD

    Me gusta

  10. Jesús,
    Que antes no tuvieras noticias de virus en Android no significa que no existieran simplemente que se conocían en un circulo reducido. Te puedo decir que conozco a Tim de Lookout antes de que estuviera allí y el ya había encontrado “malware” y publicado en su blog personal. Por si fuera poco las noticias del malware sobre Android se remontan a sus inicios y yo si que ando en Android desde su inicio, incluso antes de octubre del 2008 cuando se lanzó el htc dream.
    La teoria de la conspiración es admirable, pero quieras o no, igual que hay buenos hackers, hay malos. Puedes seguir pensando que estás tranquilo, pero conociendo como conozco la libertad de Android, sus problemas de seguridad con la sandbox y los perms, puedo decirte que mejor estés preparado ya sea con Lookout o McAfee. Si hablamos tanto de Lookout es básicamente porque conozco personalmente a Tim que lleva todo el equipo de seguridad y porque es la única empresa de seguridad que está focalizada 100% en Android no como el resto y ahí está el valor, que cada minuto de su día es trabajar en crear automatismos para detectar cosas “extrañas” en Android.
    Aquí algunos datos para soportar mis tesis:
    http://and.roid.es/android-entre-los-objetivos-de-los-hackers-para-2010.html
    http://and.roid.es/seguridad-en-android.html
    http://and.roid.es/seguridad-android-188-te-pueden-ver-las-contrasenas-guardadas-en-el-navegador.html

    Finalmente, la seguridad de tu Android es tu responsabilidad y la mía es informar de lo que hay ahí fuera 🙂

    Me gusta

  11. Buenas tardes Rallat,

    Evidentemente mi opinión como usuario no es comparable a la tuya como experto en el tema.

    Tienes razón, el simple hecho de que antes yo no tuviera noticias de virus en Android no significaba que no existieran, de manera que me he informado y he podido confirmar que: a fecha 13 de agosto de 2010 no existía virus alguno para android, según publicabais vosotros mismos, y a día de hoy si.

    http://and.roid.es/ni-virus-ni-troyanos-en-android-como-prevenir-problemas-en-tu-telefono.html

    De igual modo he podido comprobar que la primera aparición de malware en android se produce aproximadamente en julio de 2010.

    http://www.theinfoboom.com/articles/first-malware-reported-on-non-windows-mobile-platform-is-on-android-phone/

    http://www.pc1news.com/news/1437/android-s-first-malware-is-born.html

    http://conecti.ca/2010/08/10/el-primer-troyano-para-moviles-con-android/

    Pero en definitiva, lo único que intento transmitir es mi percepción de la realidad como usuario de a pie. Si resulta que me equivoco, pues me alegraré muchísimo de que así sea, porque nada me emociona más que el simple hecho de que las personas o las organizaciones se comporten de forma ética. Eso me anima a seguir creyendo en ellas.

    Me gusta

  12. Mientras tanto, lo que me ha llegado a mí y lo que le ha llegado al gran público son noticias como estas:

    http://www.zonawindows.com.ar/se-detecto-el-primer-virus-en-android/

    http://www.infobae.com/notas/530925-Android-tiene-su-primer-malware.html

    http://eleconomista.com.mx/tecnociencia/2011/01/12/se-detecta-primer-virus-android

    Que, al margen de que algunos medios se líen un poco porque no sepan distinguir muy bien entre malware, virus y demás, están datadas a finales de 2010 o principios de este año. Si no recuerdo mal Lookout y demás soluciones ya habían hecho su aparición tiempo atrás.

    Gracias por aconsejarme que esté preparado en el tema de seguridad de android, conozco gran parte de sus peligros y les pongo remedio con el software adecuado. De manera que no es su existencia lo que me inquieta, sino su origen.

    Por cierto y como detalle, si no me equivoco, Lookout no está 100% focalizada en adroid, pues también prestan servicio a usuarios de Blackberry y Windows Mobile.

    Para terminar deseo de nuevo hacer hincapié en que esto solo constituye una opinión, mi humilde opinión, y la he expresado en el momento y lugar que he considerado conveniente y sin intención de incomodar o perjudicar a nadie.

    Espero que os siga yendo genial en vuestra labor de informarnos sobre lo que hay ahí fuera, y que lo sigáis haciendo siempre con la máxima imparcialidad y pluralidad posible, como estoy seguro de que así es.

    Un saludo.

    Me gusta

  13. Madre mía, estaba infectado y ni lo sabía. Me cago en Android, ¿como pueden vendernos la maravilla de Android por el tema de la gratuidad y ser un coladero?
    Me vuelvo a Nokia con Windows Phone en cuanto saquen el primero.

    Me gusta

  14. Hola Kikp,

    Los sistemas operativos de los ordenadores tradicionales padecen estos mismos problemas o similares y nadie se rasga las vestiduras. Hasta en iPhone han tenido en alguna ocasión algún susto.

    En mi opinión, porque te cambies de plataforma no te tienes porque librar del problema. Y por otra parte, con un poco de cuidado, evitas la mayoría de estas cosas.

    Saludos!

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s