AndroRAT: un peligroso malware que afortunadamente no nos afectará si tenemos el móvil actualizado

En Android nos hemos enfrentado a muchísimos tipos de malware. Tenemos desde los que aprovechan para minar criptomonedas hasta los que roban datos bancarios. Todos escondidos en aplicaciones de dudosa calidad que Google se esfuerza en eliminar de Google Play. Sin embargo gran parte del trabajo para evitar este malware es mejorar la seguridad del propio sistema, para así limitar el alcance y la peligrosidad de los ataques.

En esta dirección, hace poco vimos como Google anunció que ha pagado 2,9 millones de dólares en solucionar estas vulnerabilidades. Son cifras de 2017 pero es una práctica que lleva realizando desde hace más de ocho años. Más de 1200 fallos de seguridad descubiertos por 274 investigadores.

Hoy toca hablar e AndroRAT (Android Remote Access Tool), una vulnerabilidad descubierta en 2012 por Robin David, actualmente ingeniero de seguridad, en su proyecto universitario. Se trataba de una vulnerabilidad que permitía acceso y control a distancia del móvil. Estaba enfocado como una herramienta open source pero llamó la atención de las mentes maliciosas que vieron esto como un fallo de seguridad grave.

Después de contactar con Robin David nos envía las siguientes reflexiones: "Creo que los autores han utilizado AndroRAT para armar una aplicación que explote las vulnerabilidad y se instale furtivamente en el dispositivo. La app original carecía de estos mecanismos tan problemáticos. Adicionalmente, el AndroRAT original trabajaba enteramente en dispositivos no rooteados, mientras que este malware puede rootear el móvil, necesario creo para conseguir contraseñas WiFi. Creo que el uso principal de esta reutilización de AndroRAT es recolectar datos GPS, textos y protocolos de red. Como usuarios lo único que puedo recomendar es no instalar apps fuera de Google Play y seguir las buenas prácticas.

Un vistazo a…

Cómo PROTEGER tu ANDROID de VIRUS y MALWARE: Trucos y consejos

Una peligrosa vulnerabilidad ya corregida

Ahora a través de TrendMicro vemos que han descubierto una nueva variante de aquella aplicación que puede ser utilizada como malware. Se trata de una versión más avanzada y todavía más peligrosa, con capacidad para obtener todo tipo de permisos y realizar acciones que comprometen muy seriamente nuestro dispositivo.

Antes de seguir preocupándoos, debemos avisar que Google ya corrigió la vulnerabilidad CVE-2015-1805 en marzo de 2016. En el kernel de Linux se había corregido bastante antes, pero no fue hasta principios de 2016 que se confirmó el problema en Android. En ese momento, se aplicó el parche de seguridad mensual y desde entonces no es un problema que debería preocuparnos.

Como todo en Android, es relativo a la antigüedad del móvil. Todos aquellos con Android 7.0 Nougat o superior no deben preocuparse de AndroRAT. De hecho, el parche de seguridad llegó antes que Nougat, por lo que muchos dispositivos con Android 6.0 Marshmallow también habrán aplicado su correspondiente parche.

¿Qué ocurre con todos los millones de móviles Android que no han sido actualizados? Básicamente que son vulnerables a malwares como los que se aprovechan de AndroRAT. Esto es un problema, ya que los atacantes además de seguir buscando nuevas vulnerabilidades, también mejoran los malware antiguos pese a que no permitan acceder a los móviles nuevos.

AndroRAT, un viejo malware que vuelve con más fuerza

Este nueva variante de AndroRAT se distribuye a través de TrashCleaner, un clon que utiliza el icono de Clean Master. La primera vez que se inicia te instala una calculadora que parece la del sistema. Al mismo tiempo el limpiador desaparece y se queda en segundo plano. Aquí se activa el exploit y de hecho el atacante puede enviar órdenes concretas para ejecutar diferentes acciones.

El malware original AndroRAT permitía realizar acciones como grabar audio, hacer fotos sin nuestro permiso, obtener datos como el IMEI o el número de modelo, conocer quién se conecta al WiFi, obtener la localización GPS y robar archivos o SMS. En definitiva, toda una serie de funciones básicas de Android.

Con el paso del tiempo este malware se ha perfeccionado y también puede realizar acciones como conocer la lista de aplicaciones, el historial, los eventos de calendario, grabar llamadas, subir archivos, utilizar la cámara frontal, grabar la pantalla, activar la accesibilidad para instalar un keylogger y ejecutar todo tipo de comandos shell. Como vemos, una vulnerabilidad aprovechada hasta casi sus límites.

Si efectuamos el test de seguridad de Google, veremos que todos los dispositivos presentados después de Abril de 2016 están protegidos. Es una vulnerabilidad crítica de la que afortunadamente todos los nuevos Android están a salvo. También aseguran que estas aplicaciones que contienen el malware no están en Google Play.

Desde aquí queremos enviar un mensaje ya repetido tantas otras veces: actualizar es importante para nuestra seguridad. Un móvil desactualizado no solo ofrece una peor experiencia diaria, también puede ser un riesgo importante.

En Xataka Android | Mi Android tiene virus: consejos para evitar apps maliciosas y cómo eliminarlas