Noticias

Un Pokémon salvaje aparece: DroidJack RAT Malware en clones de Pokémon Go para Android.

Tras el reciente lanzamiento de Pokémon Go para Android y iOS, muchos de mis amigos comenzaron a subir las capturas de pantalla de los Pokémon que iban atrapando por la calle y como no quería quedarme atrás, le pedí el link de descarga para Android a uno de ellos, el link era de un sitio japonés. La descargué y durante la instalación me pedía cambiar las configuraciones  para “Instalar aplicaciones de fuentes desconocidas (No confiables)”, después de realizar los cambios, la aplicación ya estaba instalada y lista para jugar! 😀

Después me fije en los permisos que necesitaba la aplicación sobre el teléfono y no noté nada raro. Pero nuestros amigos de Proofpoint, comenzaron a analizar algunos APKs clones de la aplicación para identificar si estaban infectados. Nada raro si son clones y están infectados, es algo normal.

¿Que es DroidJack?

Es un troyano de acceso remoto (RAT) para sistemas Android y permite:

  • Acceso completo al almacenamiento de archivos, pudiendo copiar datos al PC o desde el PC al dispositivo.
  • Seguimiento y control total sobre los SMS.
  • Seguimiento y control total sobre las llamadas.
  • Acceso a la agenda.
  • Acceso tanto al auricular como al micrófono del dispositivo.
  • Historial de navegación.
  • Rastreo de ubicación.

¿Como sé si instalé una APK infectada? =0

  • En primer lugar, verifica el hash (SHA256) de la APK que descargaste, este no es un proceso muy confiable, pero quizás pueda servir, ya que Nintendo ha hecho algunas actualizaciones, lo que obviamente hace que el hash sea distinto. El hash de una aplicación legítima es:
    • 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67
  • El hash de un APK infectado es:
    • 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4 (Si lo tienes desinstala!!!)
  • Otro método es verificar los permisos de la aplicación, pero… los permisos pueden variar dependiendo del dispositivo:
    • Configuraciones > Aplicaciones > Pokémon Go > Sección: Permisos de la aplicación
    • En algunos dispositivos puede aparecer:  “Google Play billing service” y “receive data from Internet”. Estos permisos aparecieron en algunos dispositivos que descargaron la aplicación desde Google Play, es decir que hasta este punto tu aplicación no está infectada, pero es mejor validar los siguientes puntos.
    • Estas son las capturas de pantalla de mi APK en un Samsung Galaxy:
    • SSEstas de los chicos de Proofpoint de un APK legítimo: pokemon-fig1

Aquí lo mas importante. Si tienes uno o algunos de los siguientes permisos, desinstala! pokemon-fig2

La pantalla de inicio de un APK infectado es idéntica a la original.

pokemon-fig4

Si te interesan mas detalles técnicos, ve a este Link.

Hiramcoop

Hiramcoop

Reader • Speaker | Linux • Technology • Science • Physics • Universe | InfoSec • CyberSec | Security Researcher |
Seekurity.com

1 Comment

Previous post

Facebook usa los teléfonos de las personas para escuchar lo que están diciendo, sugiere una profesora

Next post

Hackers 1 - Consoladores 0, sus fabricantes saben mucho de ti