Malware Android Self-Downloading tiene como objetivo los paises de Estados Unidos, Reino Unido y francia
Una campaña de publicidad maliciosa detectada en un popular foro está descargando una aplicación para Android en los dispositivos de los usuarios, que más tarde instala una segunda aplicación con características más intrusivos y que es casi imposible de eliminar sin flasear el teléfono del usuario.Detectado por los investigadores de seguridad de Zscaler, esta campaña maliciosa se vio en la actualidad sólo a través de anuncios maliciosos entregados en el foro GODLIKE, un sitio que se ubica en el Top 11K sitios web más populares de Alexa en Internet.
Según los investigadores, los anuncios maliciosos que aparecen en este foro se auto-descarga un APK Android para dispositivos de los usuarios que acceden al sitio desde sus teléfonos inteligentes Android.
En circunstancias normales, esto no sería un problema ya que los usuarios tienen que iniciar manualmente la aplicación a instalar. Por desgracia, no todos los usuarios lo saben, y hay un montón de usuarios que querían comprobar lo que era esta nueva aplicación y lo instalan.
El nombre de esta aplicación es Ks cleaner (kskas.apk), y trata de pasar como una aplicación de limpieza de Android. La instalación de esta aplicación activa una ventana emergente inmediata que imita una actualización de seguridad. Debido a que no hay "cancelar" o el botón "Cerrar", los usuarios no tienen más remedio que hacer clic en "Aceptar" para cerrar el mensaje.
Esto se descargará inmediatamente y se instala una segunda aplicación que se llama solamente "actualización." Esta aplicación solicita derechos de administrador durante su proceso de instalación.
Una vez instalada la aplicación empiezan aparecer anuncicos. Si los usuarios rastrean la fuente de estos anuncios a la aplicación de "actualización", no van a ser capaces de desinstalarlo. Desinstalar la aplicación requiere en primer lugar que el usuario revoque sus derechos de administrador. Esto no es posible ya que al usar un truco de programación inteligente, la aplicación va a congelar el dispositivo del usuario durante algunos segundos cada vez que intenta quitar el usuario del grupo de administración.
Los administradores del foro han eliminado los temas acerca de la aplicación maliciosa
Los investigadores dicen que han seguido más de 300 descargas de la aplicación de la primera etapa en las últimas dos semanas. Los países más afectados fueron los EE.UU., el Reino Unido y Francia.
Lo que es peor, parece que los administradores de foro donde los investigadores detectaron esta campaña habían ignorado e incluso borrado temas donde los usuarios se quejaron del sitio de descarga de aplicaciones por la fuerza en sus dispositivos.
Para prevenir efectos de esta campaña, los investigadores Zscaler dicen a los usuarios que deben desactivar el auto-descarga en todos sus navegadores móviles y desactivar la opción "Fuentes desconocidas" en la sección Configuración de seguridad de Android. Esta última opción está desactivada por defecto, pero algunos usuarios y fabricantes de equipos originales activar la función, por diversas razones. Cuando está activada, esta función permite a los usuarios instalar aplicaciones desde fuera del Play Store oficial, que es la única manera las dos aplicaciones anteriores pueden ser instalados.
