Hoy nos han traído a nuestro taller un táblet infectado con el virus de la policía. En lugar de eliminarlo he decidido cochinear un poco con él, para aprender un poquillo más sobre este tipo de amenazas.
 |
| Figura 1: virus de la policía en Android |
El sistema infectado era un Android 4.1.1 Jelly Bean. Nada más encender el táblet la famosa ventana ocupaba toda la pantalla y no dejaba actuar en ninguna opción de ajustes, ni configuraciones, solo dejaba hacer scroll arriba y abajo para poder ver toda la información que nos daba el propio virus.
 |
| Figura 2: pantalla de información que ofrece el virus |
En la zona inferior, he visto los iconos de notificación de unas descargas efectuadas. Al sacar la ventana emergente de dichas notificaciones he visto esto:
 |
| Figura 3: descargas efectuadas los últimos días en el táblet |
La lista de últimas descargas muestran unos ficheros de tipo .apk, o sea, aplicaciones de android, las famosas apps. Sin llegar a borrarlas, he guardado una copia en la SD y he desactivado la carga de aplicaciones al inicio de android. Tras reiniciar, ya me dejaba trabajar y he abierto el navegador de internet. Lás últimas páginas visitadas estaban cacheadas y se han cargado automáticamente nada más hacerlo. Estas eran las páginas en las que se había navegado:
 |
| Figura 4: pestañas con varias páginas, posibles orígenes de la infección |
Tras permanecer en esas páginas unos instantes, un pop-up hacía su aparición ofreciendo sus servicios. Que majo. ¿Aceptas ver vídeos en HD con una resolución inmejorable? ¿Aceptar o Cancelar? (lo que oculto tras la máscara roja es contenido pornográfico explíxito)
 |
| Figura 5: Pop-up para lanzar la descarga de la aplicación maliciosa |
Al darle a ACEPTAR, se lanzaba la descarga de la aplicación .APK:
 |
| Figura 6: APK ya descargada |
Al seleccionarla, se lanzaba la instalación de la propia app y ya el sistema quedaba infectado. En los ajustes del sistema no estaba marcada la opción de instalar apps de tercero ni la de depuración de desarrollador, pero como la versión es 4.1.1 tal vez sea alguna vulnerabilidad.
Me guardé una copia de la APK en la SD y la analicé en virustotal.com. Este fue el resultado:
 |
| Figura 7: resultado del análisis en virustotal.com |
(no está muy alineadas las columnas por que lo he montado de 3 capturas de pantalla distintas para poder mostrar toda la extensión del análisis)
Resumiendo:
- Fallos que se han podido cometer:
- Trabajar con un android tan desactualizado (4.1.1), pero, ¿si el fabricante no saca ningún nuevo update?
- Visitar webs porno, pero, ¿y si esa misma app está en cualquier otra web de contenido distinto y le damos a instalar, como por ejemplo una web infantil y el mensaje fuese el mismo, quieres ver este vídeo de dibujos animados en HD?
- No tener instalado ningún antivirus en el tablet. Este apartado no tiene ningún pero.
- Otras recomendaciones:
- Tener copia de seguridad de los datos por si hay que hacer un hard reset
- Revisar los controles de seguridad de instalaciones de apps
Saludos!
