Saltar al contenido
ᐅ HielosMendez – Información digital que te dejara helado 🧊🥶

El nuevo adware de Android intenta rootear su teléfono para que no pueda eliminarlo

La firma de seguridad Lookout ha revelado una nueva pieza de malware para Android, y es inteligente. El malware en cuestión es un tipo de adware troyano llamado Shuanet, que se hace pasar por 20.000 aplicaciones populares diferentes. Sin embargo, Shuanet no solo muestra anuncios. También intenta rootear cualquier dispositivo en el que esté instalado, permitiendo que el malware sobreviva a los restablecimientos de fábrica.

Shuanet comparte mucho código con varios otros troyanos de adware que Lookout ha detectado recientemente conocidos como Kemoge y Shedun. Lo interesante de Shuanet es que no busca causar estragos en un dispositivo infectado ni obstruirlo con otro malware. Esto es, ante todo, un software publicitario, por lo que el objetivo es que las personas usen sus dispositivos y vean los anuncios.

Los operadores de malware están descargando los APK legítimos de Android de aplicaciones populares, luego integrando Shuanet y volviéndolos a publicar en tiendas de aplicaciones de terceros. Las miles de aplicaciones reempaquetadas por Shuanet incluyen las de Facebook, Snapchat, NYTimes, WhatsApp y más. Estas aplicaciones parecen funcionar normalmente después de ser instaladas, por lo que es posible que el usuario ni siquiera se dé cuenta de que algo anda mal. Solo algunos anuncios emergentes molestos, pero ese es el precio que pagamos por vivir en un mundo conectado, ¿verdad?

ShuanetEl aspecto de Shuanet que está acaparando los titulares es que arraiga su dispositivo, que es algo así como cierto. Ciertamente intenta rootear cualquier dispositivo Android en el que esté instalado, pero según Lookout, no está utilizando nuevas vulnerabilidades del sistema secreto. Es simplemente un paquete de exploits más antiguos desarrollados por la comunidad que los usuarios entusiastas instalan para obtener acceso de root para su propio disfrute. Si Shuanet rootea con éxito un teléfono, mueve la aplicación infectada a la partición del sistema, lo que significa que sobrevivirá a un restablecimiento de fábrica. La única forma de eliminarlo sería utilizar un explorador de archivos habilitado para root para buscar y eliminar el paquete. Sería difícil si no supiera qué aplicación es la fuente de la infección.

Esto no es tan calamitoso como parece al principio. Como mencionamos en el pasado, no hay exploits de root universales en Android, y todos los exploits públicos incluidos en Shuanet han sido parcheados (por ejemplo, ExynosAbuse y Framaroot). Por lo tanto, un dispositivo solo es vulnerable si ejecuta una versión bastante antigua de Android. ¿Observa cómo la imagen de ejemplo proporcionada por Lookout es un teléfono Jelly Bean? Un teléfono más nuevo no sería rooteado por Shuanet, pero las funciones publicitarias aún podrían funcionar.

Todavía es muy difícil infectarse con Shuanet. Tendría que deshabilitar la protección de instalación, ignorar las advertencias de seguridad de Google y luego instalar manualmente una de estas aplicaciones de una tienda de aplicaciones de terceros sospechosa en lugar de simplemente obtenerla de Google Play. No estoy seguro de quién haría eso, pero Lookout dice que lo ha visto suceder en la naturaleza. Sin embargo, no proporciona una cifra para el número de infecciones.