jueves, junio 04, 2015

Virus de la policía en Android, análisis de un caso real

Hoy nos han traído a nuestro taller un táblet infectado con el virus de la policía. En lugar de eliminarlo he decidido cochinear un poco con él, para aprender un poquillo más sobre este tipo de amenazas.
Figura 1: virus de la policía en Android
El sistema infectado era un Android 4.1.1 Jelly Bean. Nada más encender el táblet la famosa ventana ocupaba toda la pantalla y no dejaba actuar en ninguna opción de ajustes, ni configuraciones, solo dejaba hacer scroll arriba y abajo para poder ver toda la información que nos daba el propio virus.
Figura 2: pantalla de información que ofrece el virus
En la zona inferior, he visto los iconos de notificación de unas descargas efectuadas. Al sacar la ventana emergente de dichas notificaciones he visto esto:
Figura 3: descargas efectuadas los últimos días en el táblet
La lista de últimas descargas muestran unos ficheros de tipo .apk, o sea, aplicaciones de android, las famosas apps. Sin llegar a borrarlas, he guardado una copia en la SD y he desactivado la carga de aplicaciones al inicio de android. Tras reiniciar, ya me dejaba trabajar y he abierto el navegador de internet. Lás últimas páginas visitadas estaban cacheadas y se han cargado automáticamente nada más hacerlo. Estas eran las páginas en las que se había navegado:
Figura 4: pestañas con varias páginas, posibles orígenes de la infección
Tras permanecer en esas páginas unos instantes, un pop-up hacía su aparición ofreciendo sus servicios. Que majo. ¿Aceptas ver vídeos en HD con una resolución inmejorable? ¿Aceptar o Cancelar? (lo que oculto tras la máscara roja es contenido pornográfico explíxito)
Figura 5: Pop-up para lanzar la descarga de la aplicación maliciosa
Al darle a ACEPTAR, se lanzaba la descarga de la aplicación .APK:
Figura 6: APK ya descargada
Al seleccionarla, se lanzaba la instalación de la propia app y ya el sistema quedaba infectado. En los ajustes del sistema no estaba marcada la opción de instalar apps de tercero ni la de depuración de desarrollador, pero como la versión es 4.1.1 tal vez sea alguna vulnerabilidad.

Me guardé una copia de la APK en la SD y la analicé en virustotal.com. Este fue el resultado:

Figura 7: resultado del análisis en virustotal.com
(no está muy alineadas las columnas por que lo he montado de 3 capturas de pantalla distintas para poder mostrar toda la extensión del análisis)

Resumiendo:
  • Fallos que se han podido cometer:
    • Trabajar con un android tan desactualizado (4.1.1), pero, ¿si el fabricante no saca ningún nuevo update?
    • Visitar webs porno, pero, ¿y si esa misma app está en cualquier otra web de contenido distinto y le damos a instalar, como por ejemplo una web infantil y el mensaje fuese el mismo, quieres ver este vídeo de dibujos animados en HD?
    • No tener instalado ningún antivirus en el tablet. Este apartado no tiene ningún pero.
  • Otras recomendaciones:
    • Tener copia de seguridad de los datos por si hay que hacer un hard reset
    • Revisar los controles de seguridad de instalaciones de apps
Saludos!

14 comentarios:

  1. Buenas, excelente análisis. Hoy me han traido una tablet con android 4.2.2 con ese mismo problema, he visto en descargas esa misma apk pero no consigo eliminarlo. En modo seguro puedo moverme, botón de desinstalación desactivado y si voy a seguridad / administrador de dispositivos y quito la App de ahí, me salta la pantalla del virus y no puedo desinstalarla.
    Agradeceria qualquier idea para ayudarme.
    Gracias

    ResponderEliminar
  2. Hola Astra, gracias por leer mi foro. Mi recomendación si puedes trabajar en modo seguro es hacer copia de seguridad de los contenidos y restaurar a valores de fábrica. Tienes la opción de conectarte desde una distro de linux que pueda acceder a dispositivos smartphone. Yo a veces uso Caine, Ubuntu o Kali, e intentar desde ahí "cochinear" con el contenido, pero si fuese mi teléfono yo haría un hard reset. No me fío de que se quede todo estable y que no se haya inyectado nada más en otra app o en el kernel.

    Saludos!

    ResponderEliminar
    Respuestas
    1. Se me olvidó: ambién tienes Santoku y Deft, pero nunca las he usado.

      Saludos!

      Eliminar
  3. Hola, me apareció una ventana emergente en Android acusándome de todo eso y diciendo que iba a ser investigado pero no recuerdo que pidieran nada a cambio. Alrededor salían logos de la ONU. Alguna idea?
    Mil gracias y enhorabuena por el blog.

    ResponderEliminar
  4. Hola me gustaria a ver si alguien puede ayudarme yo tengo el virus en un smart tv y no si si hay una forma de poner en modo seguro porque no tiene botones.
    gracias

    ResponderEliminar
    Respuestas
    1. Hola, si tienes un teclado ( si no ponlo ) prueba cuando se conecte manten presionado lo que seria el botón izquierdo y la tecla volumen y entraras en modo seguro

      Eliminar
  5. Hola. La verdad es que se podrá hacer algo , seguro, lo único es que muchos fabricantes optan por instalar android en sus dispositivos, por que es sencillo y barato, pero luego dejan de lado el tema de las actualizaciones que seguramente es por donde se puede atacar un sistema. Hay móviles que se venden nuevos con android 2.0.2 !!! Las compañías que fabrican no están detrás de la seguridad ya que necesitan implementar nuevas versiones y un sistema de actualizaciones eficaz, pero claro, eso cuesta dinero. En smartTV ando un poco novato, pero seguro que hay alguna combinación de botones del mando o algún panel trasero tipo Service Mode o algo así. Busca por internet tu modelo a ver si en algún foro o web puedes encontrar la solución.

    Saludos!

    ResponderEliminar
  6. Justo és ese virus! Muchas gracias de gente como ustedes, que cuelgan el caso!! Si no fuera por ello ya hubiera pagado y ademas la família se hubiera hecho cargo. Desde que apareció me lo he ido creiendo mas y mas y me estaba deprimiendo muy seriamente. Gracias a ustedes me siento mucho mas tranquilo y seguro. Estos Trabajos deberian remunerarse!

    ResponderEliminar
  7. Ami me aparecio en una tablet y me salia una cuenta que no sabia ni que tenia y de echo yo no me meti en paginas ilegales. Cogi y lo resetee todo ¿hice bien?

    ResponderEliminar
  8. hola a todos....mi problema es el siguiente, tengo una tablet samsung 2 10.1 en el que me salió la pantalla con el virus policial Interpol, se ha quedado bloqueada la pantalla y no puedo hacer nada. Reinicio como comentan ustedes, de modo seguro, pero no hace más, se repite una y otra vez lo mismo, y no da opción a abrir nada, ni scroll, Si pueden ayudarme.... Gracias de antemano

    ResponderEliminar
  9. Hola a todos... tengo un tablet con el virus de la interpol que no me deja hacer nada. Ya tente precionar el boton de enceder y apagar mas la tecla de volumen tanto para ariba como para bajo y no me sale nada. Asi que supongo que no puedo iniciarlo de modo seguro. Ademas se me bloquea nada mas abrirlo y no tengo tiempo de ir a herramientas configuracion nin nada.
    Si puedem ayudarme...
    Gracias por adelantado

    ResponderEliminar
  10. ayer 16.01.2016 me encontre con el mismo problema, el susto no te lo quita nadie,pero gracias a todos los comentarios que he ido viendo en esta pagina, creo que lo he resuelto. Gracias por la informacion.Un saludo. Ah, la mia es una tablet Samsung GT-P3110

    ResponderEliminar
  11. yo tengo el mismo virus en una tablet kurio pero el problema es que no puedo salir de esa pantalla. No puedo acceder a configuracion ni hacer nada

    ResponderEliminar
  12. A mi me a sucedido hoy y lo unico que pude hacer fue resetear perdi todo, pero almenos ya esta todo bien, menudo susto me di.

    ResponderEliminar

Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.