Es una información que se está dando a conocer en estos momentos, donde se apunta que casi 5 millones de terminales móviles basados en el sistema de Google, Android, están infectados con un malware apodado RottenSys, código malicioso que ya venía integrado en el propio sistema de fábrica.
Según un informe publicado por Check Point, empresa especializada en seguridad digital, han descubierto una nueva familia de malware muy extendida que se dirige a más de 5 millones de usuarios, cuyo fin es obtener ingresos publicitarios fraudulentos. Lo han llamado RottenSys, ya que inicialmente viene «disfrazado» como un servicio WiFi.
Lo curioso es que este llega a los clientes nada más adquirir el teléfono, por lo que lo podemos encontrar en productos de marcas tales como Samsung, Xiaomi, Honor, Oppo, Vivoo, Huawei o Gionee. Todos los dispositivos infectados han sido vendidos por un distribuidor externo de telefonía móvil a la cadena de suministro, llamado Tian Pai, que se encuentra en Hangzhou, China. Por tanto y en base a las informaciones de Check Point, en principio descubrió el malware en un terminal Xiaomi Redmi. RottenSys es una pieza de malware avanzada que se disfraza de herramienta para ayudar a gestionar las conexiones WiFi.
Sin embargo, en lugar de asegurar el servicio relacionado con la conexión WiFi de los usuarios, la aplicación solicita permisos de Android, como el de accesibilidad, el acceso a la lectura del calendario, o el permiso de descarga en segundo plano, ninguno de ellos relacionados con el servicio WiFi como tal.
RottenSys, el malware Android que ha infectado a más 5 millones de terminales
Por lo que se ha podido saber, el malware RottenSys comenzó a propagarse en septiembre de 2016, por lo que en estos momentos de 2018, casi 5 millones de dispositivos están infectados, afirman los investigadores. Además, RottenSys utiliza dos métodos para no ser detectado, por un lado pospone cualquier actividad maliciosa para evitar la relación con la app como tal.
Por otro, RottenSys al principio no muestra ninguna actividad ilícita, pero una vez que el dispositivo está activo, comienza a comunicarse con servidores C&C para obtener la lista de componentes que son los que contienen el código malicioso real.
Tras esto, el malware descarga e instala componentes adicionales en segundo plano utilizando el permiso “DOWNLOAD_WITHOUT_NOTIFICATION”, por lo que no requiere de ninguna interacción del usuario. Esta campaña masiva de malware lanza un adware a todos los dispositivos infectados, que muestra anuncios en la pantalla de inicio del dispositivo en forma de ventanas emergentes o anuncios a pantalla completa, todo para generar ingresos publicitarios fraudulentos.
En este caso, RottenSys solo en los diez últimos días, publicó más de 13 millones de «anuncios agresivos», y más de medio millón se tradujeron en clics sobre los mismos, generando más de 115,000 dólares.
Para terminar, diremos que, además de mostrar anuncios no deseados, los atacantes también están probando una nueva campaña de botnets a través del mismo servidor C&C para convertir el dispositivo en eslabón de en una red de bots más grande.
