El malware de esta familia utiliza la publicidad como su principal método de monetización. El malware utiliza diferentes métodos para mostrar tantos anuncios como sea posible para el usuario, incluso mediante la instalación de nuevo adware oculto. Al aprovechar los derechos de superusuario, el malware puede ocultarse en la carpeta del sistema, lo que dificulta su eliminación.
Ciertamente, los troyanos dirigidos a dispositivos móviles son una de las amenazas que más se han propagado en los últimos años entre usuarios de Android. En particular, una de las familias genéricas de troyanos más relevantes es detectada por nuestros productos como Android/TrojanDownloader y agrupa a un conjunto de códigos maliciosos capaces de instalar en el sistema otros APK que son descargados desde de la red.
En 2017, una nueva variante de downloader ha estado incrementando sus detecciones entre usuarios latinoamericanos. Se trata de Android/TrojanDownloader.Agent.FS: una variante que comenzó a detectarse en abril de 2016 pero que tuvo su pico de crecimiento recién a fines del pasado febrero.
Desde entonces, hemos visto una continua actividad de este troyano en diferentes países de América Latina hasta posicionarse como la variante más detectada de este tipo de amenaza en la región. A continuación, te contamos qué hace este código malicioso y cómo puedes protegerte.
La amenaza se propaga mediante servidores maliciosos, tiendas no oficiales y sitios de malvertising, haciéndose pasar por falsas soluciones móviles de seguridad, reproductores de música y videos, actualizaciones del sistema, Flash Player, WhatsApp y aplicaciones de pornografía.
Una de las principales funcionalidades del malware es peticionar decenas de anuncios publicitarios, algunos de los cuales terminan mostrándose a los usuarios finales. Una vez instalada en el sistema, la aplicación se ocultará en el icono del menú de aplicaciones para pasar desapercibida y contactará al servidor que enviará los parámetros de configuración, iniciando un proceso que peticionará anuncios en segundo plano.
Diversas estafas que prometen iPhones gratuitos, falsas alertas de malware en el equipo que redireccionan a aplicaciones potencialmente peligrosas, sitios de pornografía y apuestas deportivas, son algunos de los anuncios que copan de a minutos la pantalla del equipo.
Además de la molestia que ocasionará al usuario la incesante cantidad de ventanas que se abrirán en su terminal, el consumo de red podría aumentar los costos por telefonía y reducir marcadamente la utilidad de la batería. Claro que todo esto contribuye a una ganancia económica para los ciberdelincuentes.
Pero esto no es todo, ya que el troyano además tiene la capacidad diseminar otros códigos maliciosos que descarga e instala en el terminal.
Este segundo ejecutable es detectado como Android/Hiddad.IC y es una aplicación que dice ser capaz de medir el pulso cardíaco mediante el uso de la linterna del equipo, mientras posee una arquitectura dedicada a mostrar publicidades. Esta detección data de fines de noviembre de 2017, por lo que es probable que otras variantes hayan sido propagadas con anterioridad.
Afortunadamente, ninguna de estas aplicaciones impide al usuario desinstalar el ejecutable, por lo que, una vez identificadas en el equipo, es posible removerlas mediante las opciones de configuración del sistema.
