Artículo original de Mark Balanza (Analista de amenazas)
Hemos detectado varios desarrollos importantes en la nueva variante de DroidDreamLightque pudimos analizar a principios de este mes. Esta nueva variante, detectada en una tienda de aplicaciones de terceros basada en China, se presenta en forma de aplicaciones tales como una herramienta para el control de la batería, una herramienta para el listado de tareas y una aplicación que detalla los permisos utilizados por las aplicaciones instaladas. Es importante destacar que las aplicaciones están en inglés, por lo que las posibles víctimas no son solamente los usuarios que entienden chino.
El código presentaba cambios sustanciales:

Otro cambio importante es la inclusión de rutinas para el robo de información. Según nuestro análisis, esta variante nueva es capaz de robar determinada información de los dispositivos, como por ejemplo:
- SMS (bandeja de entrada y de salida)
- Registros de llamadas (entrantes y salientes)
- Lista de contactos
- Información relacionada con cuentas de Google almacenadas en el dispositivo
La información robada se almacena en formato comprimido en el directorio /data/data/%package name%/files y luego se carga en una URL incluida en el archivo de configuración.

Al igual que las variantes anteriores, también accede a una URL del archivo de configuración para luego cargar otra información sobre el dispositivo infectado, como:
- Modelo de teléfono
- Configuración de idioma
- País
- Número IMEI
- Número IMSI
- Versión del SDK
- Nombre del paquete de la aplicación maliciosa
- Información sobre las aplicaciones instaladas
Cuando la URL recibe la información, envía una respuesta en forma de archivo de configuración cifrado cuyo objetivo es actualizar el archivo de configuración actual. A continuación se incluye un ejemplo del código:

Además, según el código, este malware tiene la capacidad de introducir mensajes en la bandeja de entrada del dispositivo infectado (con el remitente y el cuerpo del mensaje que especifique el hacker) y de enviar mensajes a números de las listas de contactos de los usuarios.
Esta variante nueva también incluye códigos que verifican mediante comprobación de archivos específicos si el dispositivo infectado ha sido enraizado. También hemos detectado que este malware puede instalar y desinstalar paquetes si el dispositivo ha sido enraizado, a pesar de que no hemos encontrado ningún código de llamada de estos métodos.
Para comprobar si su teléfono está infectado, el usuario debe acceder a Settings > Applications > Running Services y buscar el servicio CelebrateService.

Este malware Android se detecta actualmente como ANDROIDOS_DORDRAE.N.
A los usuarios que deseen más información sobre las amenazas para Android se les recomienda consultar nuestro infográfico de amenazas para Android y nuestro libro electrónico, “5 pasos sencillos para proteger los smartphones basados en Android.”