Adware Panini para Android puede consumir su plan de datos, sin que usted se dé cuenta

Ene 16, 2019 - by administrador

El equipo de Investigación de Amenazas de SonicWall identificó un Adware (software que genera propagandas en línea sin consentimiento del usuario) que opera sobre el sistema operativo Android y se dispersa utilizando diferentes nombres e iconos de aplicaciones. El archivo no solicita muchos permisos en el dispositivo (a diferencia de la mayoría de eventos de malware) y su actividad de red comienza típicamente después de que descarga un archivo JAR tras algunos minutos de ejecución.

Mediante una profunda investigación, SonicWall Capture Labs encontró más de 500 muestras en tan sólo los últimos dos meses, exhibiendo un comportamiento muy activo en la red. La campaña ha sido denominada Panini, debido al nombre clave del archivo JAR que es descargado.

La mayoría de estos ejemplos utilizan nombres e iconos genéricos de aplicaciones, como Video, Downloader y Music, la siguiente grafica muestra el tipo de nombres que emplea:

 

En general, el adware está en un área gris en términos de ser considerado como un ataque malicioso o incluso para ser bloqueado automáticamente. La mayoría de las veces no implica un riesgo grave para la privacidad y uso de datos del usuario, como sucede generalmente con las infecciones de malware, sino que suele implicar molestias ligeras cuando se presentan anuncios emergentes y publicidad invasiva en toda el área de la pantalla. Lo que llama la atención de esta campaña es que, al “camuflarse” como publicidad, no es fácilmente detectada como amenaza y, además, afecta el consumo de datos sin autorización.

Similitud de programas

Hay una serie de semejanzas entre las diferentes muestras pertenecientes a esta campaña de infección:

Ø  Estructura de código: el código fuente de infección se muestra similar a uno original o sano.

Ø  Lista de permisos: todas las muestras de esta campaña solicitan los siguientes permisos:

android.permission.INTERNET

android.permission.ACCESS_NETWORK_STATE

android.permission.WRITE_EXTERNAL_STORAGE

Ø  Estructura similar de carpetas de instalación: la estructura del adware parece similar a la de un archivo sano.

Ø  Iconos utilizados: todas las muestras de esta campaña emplean iconos de la siguiente lista:

Trucos visuales con los iconos

Para las apps de esta campaña, el icono que se visualiza en el gestor de aplicaciones tras la instalación es diferente al que aparecía antes.

 

Una vez instalado, el icono que se despliega en el gestor de aplicaciones luce diferente:

 

Probablemente, la razón para este cambio puede ser debido a que el usuario notaría un ícono nuevo en el gestor de aplicaciones y podría intentar abrirlo por curiosidad para descubrir cuando instaló esta nueva aplicación o para qué sirve. Esta es una táctica inteligente que obliga a la víctima a acceder a la aplicación y, por ende, ejecutar el adware.

 

Una vez que el adware se ejecuta, el icono desaparece del gestor de aplicaciones. Si la víctima intenta remover esta aplicación desde la configuración del dispositivo encontrará un icono diferente al que vio originalmente. Esta estrategia está probablemente pensada para confundir al usuario cuando trate de desinstalar el app:

 

 

Consecuencias de Panini

El archivo romanticpanini se almacena localmente en la carpeta app_extra:

 

Una vez que se guarda el archivo JAR, la actividad de red en el dispositivo multiplica y se comienza a ver un alto volumen de tráfico relacionado con publicidad; poco tiempo después se observan anuncios pop up de pantalla complete, presentándose con mayor regularidad en el dispositivo infectado:

 

 

SonicWall midió tráfico de red en diferentes condiciones de prueba y observó un alza visible en el tráfico de red originado de las muestras de adware.

En promedio, se observa que el consumo de datos durante 10 minutos llegaba a alrededor de 5MB tras la infección (como se muestra en la siguiente imagen). Esto afecta a los usuarios que tienen un uso de datos limitados o un plan restringido en sus dispositivos, ya que el gasto adicional de datos podría generar más cobros en su recibo telefónico.

 

 

 

Distribución

La imagen muestra la distribución geográfica de los ataques efectuados con los elementos representativos de esta campaña, donde usuarios de Colombia también han sufrido esta vulnerabilidad.

Conclusión

La campaña de adware Panini representa un riesgo en consumo de datos. Esta infección impacta más severamente a usuarios que tienen contratado un plan de datos móviles limitado.

Para usuarios con planes ilimitados las afectaciones pueden reflejarse en reducción de velocidad en la navegación, una vez que se alcanza el consumo promedio estimado por el proveedor de servicio.

Carlos Gómez, Ingeniero de Ventas de SonicWall para el sur de Latinoamérica, recomienda monitorear frecuentemente el consumo de datos en los dispositivos. “Al hacer una revisión de rutina mediante aplicaciones de Monitoreo de Red se puede identificar si una aplicación en específico está consumiendo mayores volúmenes de datos y podría, potencialmente, estar ocultando alguna infección de adware en el dispositivo”, asegura Gómez.

Si desea conocer más detalles de esta campaña de adware, visite: https://securitynews.sonicwall.com/xmlpost/panini-adware-for-android-soaks-network-bandwidth-bad-news-for-users-with-limited-data/

Para obtener más información sobre SonicWall, visite:

●        SonicWall en Twitter

●       SonicWall en LinkedIn

●        SonicWall en Facebook

●        SonicWall en Instagram

Acerca de SonicWall

SonicWall ha estado luchando contra la industria ciberdelincuente por más de 26 años defendiendo pequeñas y medianas empresas y corporativos en todo el mundo. Respaldados por la investigación de SonicWall Capture Labs y los formidables recursos de más de 26,000 socios de canal leales en todo el mundo, nuestras galardonadas soluciones de detección y prevención de violaciones en tiempo real protegen a más de un millón de negocios, redes móviles, así como sus correos electrónicos, aplicaciones y datos. Esta combinación de productos y socios ha permitido una solución automatizada de detección y prevención de fallas en tiempo real ajustada a las necesidades específicas de las más de 500,000 organizaciones en más de 200 países y territorios. Estas empresas pueden funcionar de manera más efectiva y temen menos acerca de la seguridad. Para obtener más información, visite www.sonicwall.com.