Como os contaba hace poco, el contar con Tacyt, la plataforma de investigación de apps, nos permite realizar lo que yo denominaba la "Limpieza de Área". El proceso consiste en localizar, a partir de singularidades existentes en apps maliciosas aquellas otras apps relacionadas, con el objeto de eliminar cualquier rastro de software dañiño y de tener el máximo de información posible. En este trabajo, cuando salió publicado por los investigadores de Cheetah Mobile la existencia de un troyano pre-instalado en algunas tablets baratas con Android de Amazon, procedimos a investigarlo.
 |
| Figura 1: El troyano Clousota en Google Play |
El resultado fue que, dentro de las 4.6 Millones de apps que tenemos en Tacyt, localizamos una única app con una fuerte relación con este malware. La app en sí, llamada HTML5 Games Box, está aún disponible en el market de Google Play, a pesar de que nosotros hemos podido constatar que el troyano Cloudsota - que es como se ha bautizado a este malware - está presente en ella.
 |
| Figura 2: HTML5 Games Box en Google Play |
Lógicamente, para hacer esta afirmación, una vez que llegamos a ella por medio de singularidades, hubo que proceder al análisis manual de la misma que está disponible en el artículo que han publicado nuestros compañeros Sergio de los Santos y Miguel Ángel García en el blog de Eleven Paths que puedes leer aquí: "El troyano preinstalado en tablets baratas de Amazon también está en Google Play".
 |
| Figura 3: Análisis de HTML5 Games Box en el blog de Eleven Paths |
Algunos antivirus para Android marcan ya esta app como maliciosa, pero más por usar el SDK AirPush, para muchos un SDK de Adware. Además, como curiosidad se puede ver como esta app tiene miles de descargas y solo pocos comentarios, lo que podría indicar que ha sido descargada de forma automática con algún proceso malicioso para conseguir inflar los resultados visibles en la misma.
No comments:
Post a Comment