Modificación de código masiva de la nueva variante de DroidDreamLight

Artículo original de Mark Balanza (Analista de amenazas)

 

Hemos detectado varios desarrollos importantes en la nueva variante de DroidDreamLightque pudimos analizar a principios de este mes. Esta nueva variante, detectada en una tienda de aplicaciones de terceros basada en China, se presenta en forma de aplicaciones tales como una herramienta para el control de la batería, una herramienta para el listado de tareas y una aplicación que detalla los permisos utilizados por las aplicaciones instaladas. Es importante destacar que las aplicaciones están en inglés, por lo que las posibles víctimas no son solamente los usuarios que entienden chino.

El código presentaba cambios sustanciales:

Ilustración 1. Comparativa de código de la versión antigua de DroidDreamLight (izquierda) y la variante nueva de DroidDreamLight (derecha)

Otro cambio importante es la inclusión de rutinas para el robo de información. Según nuestro análisis, esta variante nueva es capaz de robar determinada información de los dispositivos, como por ejemplo:

  • SMS (bandeja de entrada y de salida)
  • Registros de llamadas (entrantes y salientes)
  • Lista de contactos
  • Información relacionada con cuentas de Google almacenadas en el dispositivo

 

La información robada se almacena en formato comprimido en el directorio /data/data/%package name%/files y luego se carga en una URL incluida en el archivo de configuración.

Ilustración 2. La URL a la que se envía la información figura en el archivo de configuración

Al igual que las variantes anteriores, también accede a una URL del archivo de configuración para luego cargar otra información sobre el dispositivo infectado, como:

  • Modelo de teléfono
  • Configuración de idioma
  • País
  • Número IMEI
  • Número IMSI
  • Versión del SDK
  • Nombre del paquete de la aplicación maliciosa
  • Información sobre las aplicaciones instaladas

Cuando la URL recibe la información, envía una respuesta en forma de archivo de configuración cifrado cuyo objetivo es actualizar el archivo de configuración actual. A continuación se incluye un ejemplo del código:

Ilustración 3. Código de la actualización del archivo de configuración

Además, según el código, este malware tiene la capacidad de introducir mensajes en la bandeja de entrada del dispositivo infectado (con el remitente y el cuerpo del mensaje que especifique el hacker) y de enviar mensajes a números de las listas de contactos de los usuarios.

Esta variante nueva también incluye códigos que verifican mediante comprobación de archivos específicos si el dispositivo infectado ha sido enraizado. También hemos detectado que este malware puede instalar y desinstalar paquetes si el dispositivo ha sido enraizado, a pesar de que no hemos encontrado ningún código de llamada de estos métodos.

Para comprobar si su teléfono está infectado, el usuario debe acceder a Settings > Applications > Running Services y buscar el servicio CelebrateService.

Ilustración 4. Si se detecta el servicio CelebrateService, significa que el dispositivo está infectado

Este malware Android se detecta actualmente como ANDROIDOS_DORDRAE.N.

A los usuarios que deseen más información sobre las amenazas para Android se les recomienda consultar nuestro infográfico de amenazas para Android y nuestro libro electrónico, “5 pasos sencillos para proteger los smartphones basados en Android.”


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>