El equipo de Investigación de Amenazas de SonicWall identificó un Adware (software que genera propagandas en línea sin consentimiento del usuario) que opera sobre el sistema operativo Android y se dispersa utilizando diferentes nombres e iconos de aplicaciones. El archivo no solicita muchos permisos en el dispositivo (a diferencia de la mayoría de eventos de malware) y su actividad de red comienza típicamente después de que descarga un archivo JAR tras algunos minutos de ejecución.
Mediante una profunda investigación, SonicWall Capture Labs encontró más de 500 muestras en tan sólo los últimos dos meses, exhibiendo un comportamiento muy activo en la red. La campaña ha sido denominada Panini, debido al nombre clave del archivo JAR que es descargado.
La mayoría de estos ejemplos utilizan nombres e iconos genéricos de aplicaciones, como Video, Downloader y Music, la siguiente grafica muestra el tipo de nombres que emplea:
En general, el adware está en un área gris en términos de ser considerado como un ataque malicioso o incluso para ser bloqueado automáticamente. La mayoría de las veces no implica un riesgo grave para la privacidad y uso de datos del usuario, como sucede generalmente con las infecciones de malware, sino que suele implicar molestias ligeras cuando se presentan anuncios emergentes y publicidad invasiva en toda el área de la pantalla. Lo que llama la atención de esta campaña es que, al “camuflarse” como publicidad, no es fácilmente detectada como amenaza y, además, afecta el consumo de datos sin autorización.
Similitud de programas
Hay una serie de semejanzas entre las diferentes muestras pertenecientes a esta campaña de infección:
- Estructura de código: el código fuente de infección se muestra similar a uno original o sano.
- Lista de permisos: todas las muestras de esta campaña solicitan los siguientes permisos:
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.WRITE_EXTERNAL_STORAGE
- Estructura similar de carpetas de instalación: la estructura del adware parece similar a la de un archivo sano.
- Iconos utilizados: todas las muestras de esta campaña emplean iconos de la siguiente lista:
Trucos visuales con los iconos
Para las apps de esta campaña, el icono que se visualiza en el gestor de aplicaciones tras la instalación es diferente al que aparecía antes.
Una vez instalado, el icono que se despliega en el gestor de aplicaciones luce diferente:
Probablemente, la razón para este cambio puede ser debido a que el usuario notaría un ícono nuevo en el gestor de aplicaciones y podría intentar abrirlo por curiosidad para descubrir cuando instaló esta nueva aplicación o para qué sirve. Esta es una táctica inteligente que obliga a la víctima a acceder a la aplicación y, por ende, ejecutar el adware.
Una vez que el adware se ejecuta, el icono desaparece del gestor de aplicaciones. Si la víctima intenta remover esta aplicación desde la configuración del dispositivo encontrará un icono diferente al que vio originalmente. Esta estrategia está probablemente pensada para confundir al usuario cuando trate de desinstalar el app:
Consecuencias de Panini
El archivo romanticpanini se almacena localmente en la carpeta app_extra:
Una vez que se guarda el archivo JAR, la actividad de red en el dispositivo multiplica y se comienza a ver un alto volumen de tráfico relacionado con publicidad; poco tiempo después se observan anuncios pop up de pantalla complete, presentándose con mayor regularidad en el dispositivo infectado:
SonicWall midió tráfico de red en diferentes condiciones de prueba y observó un alza visible en el tráfico de red originado de las muestras de adware.
En promedio, se observa que el consumo de datos durante 10 minutos llegaba a alrededor de 5MB tras la infección (como se muestra en la siguiente imagen). Esto afecta a los usuarios que tienen un uso de datos limitados o un plan restringido en sus dispositivos, ya que el gasto adicional de datos podría generar más cobros en su recibo telefónico.
Distribución
La imagen muestra la distribución geográfica de los ataques efectuados con los elementos representativos de esta campaña, donde usuarios de Colombia también han sufrido esta vulnerabilidad.
Conclusión
La campaña de adware Panini representa un riesgo en consumo de datos. Esta infección impacta más severamente a usuarios que tienen contratado un plan de datos móviles limitado.
Para usuarios con planes ilimitados las afectaciones pueden reflejarse en reducción de velocidad en la navegación, una vez que se alcanza el consumo promedio estimado por el proveedor de servicio.
Carlos Gómez, Ingeniero de Ventas de SonicWall para el sur de Latinoamérica, recomienda monitorear frecuentemente el consumo de datos en los dispositivos. “Al hacer una revisión de rutina mediante aplicaciones de Monitoreo de Red se puede identificar si una aplicación en específico está consumiendo mayores volúmenes de datos y podría, potencialmente, estar ocultando alguna infección de adware en el dispositivo”, asegura Gómez.
Si desea conocer más detalles de esta campaña de adware, visite: https://securitynews.sonicwall.com/xmlpost/panini-adware-for-android-soaks-network-bandwidth-bad-news-for-users-with-limited-data/
Para obtener más información sobre SonicWall, visite:
Via: SonicWall
