Una nueva pieza de malware de Android ha sido descubierta recientemente por la firma de seguridad Lookout, y está vez se trata de un malware bastante «inteligente».
El malware en cuestión es un tipo de adware troyano llamado Shuanet, y que tiene la capacidad de hacerse pasar por 20,000 aplicaciones populares diferentes.
Shuanet no sólo muestra anuncios, sino que además intenta rootear cualquier dispositivo en el que se instale, lo que permite que el malware sobreviva incluso a un reseteo de fábrica o hard reset.
Shuanet comparte mucho código con otros troyanos adware que Lookout ha detectado recientemente como Kemoge y Shedun. Lo interesante de Shuanet es que no busca causar estragos en los dispositivos infectados, este es un adware, ante todo, por lo que el objetivo es conseguir que la gente use sus dispositivos y que vean los anuncios.
Los creadores/operadores del malware lo que hacen es descargar los archivos APK de aplicaciones Android legítimas y populares, y luego añaden el código de Shuanet dentro de la APK y publican la APK en las tiendas de aplicaciones de terceros. Cuando un usuario desprevenido descarga una de esas aplicaciones pensando que es la original, no sólo se lleva la aplicación que quiere, sino que además instala Shuanet sin saberlo.
Entre los miles de aplicaciones re-envasadas por Shuanet se incluyen aplicaciones como Facebook, Snapchat, NYTimes, WhatsApp y más. Estas aplicaciones funcionar normalmente después de haber sido instaladas, por lo que el usuario ni siquiera se dará cuenta de que algo está mal. Sólo unos cuantos anuncios en molestas ventanas emergentes y poco más.
Pero el aspecto de Shuanet que más preocupa es que si puede rooteará el dispositivo infectado. Pero de acuerdo a Lookout, Shuanet no usa nuevas vulnerabilidades secretas del sistema, sino que simplemente se trata de un paquete antiguo de exploits desarrollado en la comunidad de entusiastas y que los usuarios instalan para ganar acceso de root para su propio disfrute.
Si Shuanet rootea con éxito un teléfono, lo que hacer es mover la aplicación infectada a la partición del sistema, lo que significa que sobrevivirá a un reinicio de fábrica. La única forma de eliminarla sería usando un explorador de archivos con soporte root para encontrar y eliminar el paquete. Y esto es muy difícil si no sabes qué aplicación provocó la infección.
Pero esto no es tan calamitoso como parece, pues como dije, Shuanet utiliza exploits antiguos que ya han sido parcheados. Por lo tanto, sólo los dispositivos que ejecutan versiones antiguas de Android son vulnerables. Y por antiguo me refiero a dispositivos con Android JellyBean o versiones anteriores.
A pesar de todo lo anterior, sigue siendo difícil ser infectado por Shuanet. Tendrías que desactivar la protección de instalación, ignorar las advertencias de seguridad de Google, y luego instalar manualmente una de estas aplicaciones desde una tienda de aplicaciones de terceros, en lugar de simplemente descargarla desde Google Play.
No creo que mucha gente haría eso, pero estoy seguro de que si los suficientes como para hacer que este tipo de adware/malware sean rentables para sus creadores.