Google no te va a avisar si tu móvil está infectado

El sistema esta muy dañado por virus

Hace ya un mes que estoy recibiendo mensajes por Whatsapp de varios amigos y familiares, muy alarmados y con el miedo en el cuerpo preguntándome qué tienen que hacer. Me adjuntan una captura de pantalla en la que se ve una web con la estética de Google que dice: «El sistema esta dañado por virus».

Tras revisar la captura, podemos ver que se especifican detalles muy concretos como el modelo del terminal móvil, la ubicación, o el proveedor de servicios. Además de eso, en algunos casos incluso se informa de la supuesta cantidad de archivos maliciosos que tiene el terminal y, en un tono algo amenazante, advierte que la batería empezará a deteriorarse o se perderán contactos por un deterioro de la tarjeta SIM.

Pero por suerte desgracia del usuario, todo esto puede solucionarse instalando una magnifica app de forma completamente “gratuita” (más tarde veremos el verdadero precio de este simple click)

Tras advertir a mis contactos de que esto no era más que una simple estafa publicitaria, decidí ponerme a buscar este aviso. Esta tarea no me resulto muy compleja, ya que basta con entrar en páginas de descarga de contenidos sin un bloqueador de publicidad para suceda. Eso sí, siempre desde nuestro terminal móvil.

Y… voilà!, en menos de un minuto mi móvil también estaba altamente infectado. En este punto ya no quise continuar, por los motivos obvios, y simplemente me envié la URL para un posterior análisis en un entorno seguro (URL que, por cierto, era muy larga e incluía parámetros como IP, ubicación, modelo del terminal, país, ids…)

Oye, Tal vez te interese leer:

• ¿Necesitas un SDR TX/RX a un precio muy bajo?
• Creando un sistema Ambilight casero económico. DIY
• NFC, Contactless y Fraude bancario, mitos y verdades

¡Comienza el análisis!

Ya en un entorno seguro, abrí la URL que había obtenido en mi teléfono con el fin de encontrarme con esta página y bajar la apk. Sin embargo y para mi sorpresa, me encontré con una web completamente distinta, que no llevaba a ningún lugar malicioso. Mi cara fue de WTF por unos segundos, pero me dí cuenta de que probablemente se estuviera detectando el user agent del navegador.
Efectivamente, al cambiar el UA por el de un terminal móvil, conseguí que me empezaran a saltar anuncios con distintas apariencias (todas con UI similar al de Android), que me informaban de diversas infecciones, pero ninguna como la de Google. Visto esto, decidí ir un paso más y, en lugar de usar un UA modificado, lo mejor sería usar un emulador.

Ya con el emulador arrancado sigo el mismo proceso. Para mi sorpresa, el primer pop-up que obtengo es el famoso “virus Google”, indicándome que estoy infectado y debo descargarme una app.
Cuidado con las apps que descargas e instalas en tu teléfono. Click Para Twittear

Al pulsar sobre descarga, no voy a Google play (por motivos relacionados con el emulador), pero sí puedo ver que el link me manda descargar el siguiente paquete “com.duapps.antivirus”

Si buscamos este paquete en Google play, vemos que es un software antivirus gratuito que además cuenta con una valoración muy muy positiva (más de 4 sobre 5).
Mirando otras aplicaciones de este mismo desarrollador, vemos que no hay más en Google play, pero si buscamos en Google por el principio del paquete “com.duapps”, nos encontramos con unas cuantas más, e incluso con una web de apariencia muy cuidada, la cual pertenece a este desarrollador.

Entre su cartera de apps podemos ver como también tiene una app de linterna, (de las que ya se ha hablado en muchas ocasiones), la cual podemos ver en Google play como solicita una cantidad de permisos importantes, entre los que se encuentran algunos como:

Consultar la identidad y el estado del teléfono
Fotos/multimedia/archivos
Modificar o eliminar contenido del almacenamiento USB
Leer el contenido de tu almacenamiento USB
Realizar fotografías y vídeos
Información sobre la conexión Wi-Fi
ID de dispositivo y datos de llamada
Ejecutarse al inicio
Cambiar la conectividad de red
Impedir que el dispositivo entre en modo de suspensión
Modificar los ajustes del sistema
Acceso completo a red
Conectarse a redes Wi-Fi y desconectarse

Sin lugar a dudas es una lista considerable, teniendo en cuenta que lo único que hace la app es encender un LED. Y, al igual que la anterior, esta app también cuenta con un gran número de valoraciones positivas.

Pero volviendo a la app que nos ocupa, vamos a proceder a ver qué esconde el .APK

Un escaneo rápido en virustotal y nos encontramos con 3 detecciones sobre 53. Esto es algo que, a pesar de no ser excesivo, nos pone en preaviso, especialmente teniendo en cuenta cómo hemos obtenido la app. «esto si que es estar dañado por virus».

Para un análisis más específico he utilizado la herramienta online koodous, y los resultados no hacen más que confirmar sospechas.

Vamos paso por paso:

URLs: analizando las conexiones que hace la app mediante URLs vemos que la gran mayoría se realizan con plataformas de monetización de apps mediante publicidad, con dominios que únicamente muestran flags con valores 0 o 1 y con servidores cuyas configuraciones dejan mucho que desear. Además de esto, algo que llama la atención es que más de un 50% de las URLs son dominios registrados en china. En total 132 URLs que, en el mejor de los casos, no harán más que ralentizar y gastar la batería de nuestro teléfono.

La aplicación realiza un importante numero de conexiones terminadas en china. Click Para Twittear

Crypto: de este aspecto podemos observar que la aplicación realiza muchos procesos de encriptación, algo que en principio podría ser beneficioso, pero en este caso lo realiza sobre procesos como el de llamadas, contactos, el navegador o el calendario. Desconozco qué hace después con estos datos encriptados o dónde los envía, pero desde luego la cosa no pinta nada bien.

Permisos: No voy a alargarme mucho en este aspecto, ya que la lista supera los 50 permisos, pero por destacar alguno podemos ver cosas como

Permisos que, entre otras cosas, permiten a la app desinstalar un icono del menú, (evitando así que el usuario se dé cuenta de que tiene alguna app no deseada instalada), detectar cuándo el terminal se inicia (probablemente para iniciar la app automáticamente), o acabar con procesos corriendo en segundo plano.

Funcionalidades: aquí podemos destacar acciones como determinar el IMEI del teléfono o el IMSI, datos que son de gran importancia para identificar a un usuario en la red.

Dominios: los dominios desde los que se distribuye esta app son muy variados, y utilizan terminaciones de dominio poco comunes como .xyz, .pw o .ks, lugares donde la legislación en materias de delitos informáticos es prácticamente nula. A pesar de esto, todo indica que el empresario final se encuentra en el mercado asiático.

En resumen, podemos ver que esta app no parece ser un gran remedio a cualquier mal que tenga nuestro terminal. Es por todo ello que se debe recordar tener cuidado con lo que instalamos en nuestros teléfonos, ya que estas campañas están muy extendidas en Internet, y van a intentar utilizar todos los métodos a su disposición para instarnos a instalar software malicioso. En estos casos lo mejor que puedes hacer es salir rápidamente de este tipo de webs y no entrar en pánico ante una posible infección.

Saludos, y mucho cuidado!