Gonfu.D

Troyano para dispositivos Android que trata de explotar una vulnerabilidad de escalado de privilegios.

 

Detalles técnicos

 

Infección/Efectos

Cuando Gonfu.D se ejecuta, realiza las siguientes acciones:

Método de infección

El troyano puede llegar como uno de los siguientes paquetes:

  • APK:
    • com.rovio.new.ads
    • com.rovio.new.ads.apk
  • Versión: 1.1.2
  • Nombre: todo

Al ser instalado solicita los siguientes permisos:

  • Acceso a información de localización como Cell-ID o WiFi.
  • Lectura de archivos de log del sistema de bajo nivel.
  • Escritura a almacenamiento externo.
  • Acceso a información sobre redes.
  • Acceso a información sobre redes WiFi.
  • Sockets de red abiertos.
  • Acceso al estado del teléfono.

Y trata de explotar la vulnerabilidad de escalado de privilegios en Android Open Handset Alliance (BID 48238).

El troyano trata de conectarse a los siguientes servidores de comando y control (C&C):

  • [http://]ad.pandanew.com:8511/sea[ELIMINADO]
  • [http://]ad.phonego8.com:8511/sea[ELIMINADO]
  • [http://]ad.my968.com:8511/sea[ELIMINADO]

Además, modifica el siguiente archivo para ejecutarse al encender el dispositivo:

  • /system/bin/svc

Y el siguiente fichero con información de configuración:

  • /system/build.prop

El troyano establece la siguiente propiedad del sistema a 0 para que una sóla instancia del troyano se ejecute:

  • r0.bot.run

Sobreescribe los siguientes archivos con una copia de sí mismo:

  • /system/bin/rm
  • /system/bin/move
  • /system/bin/mount
  • /system/bin/ifconfig
  • /system/bin/chown
  • /system/bin/debuggerd
  • /system/bin/vold

 

Contramedidas

Desinfección

Para eliminar el troyano, debe desinstalar el paquete siguiendo los siguientes pasos:

  • Abra el Menú de Google Android.
  • Haga click en el icono de configuración y después en el de aplicaciones.
  • Haga click en gestionar.
  • Seleccione el paquete y haga click en el botón desinstalar.

A continuación:

  • Instale un antivirus actualizado en su dispositivo Android.
  • Compruebe con el antivirus actualizado que su dispositivo Android está libre de virus.

Por k0bra

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad