Investigadores de ESET le han dado seguimiento y realizado una investigación profunda a una serie de ataques de los cuales han sido victimas varios usuarios de Android, a través de una app maliciosa enlazada directamente con otras de nombre systemdata o resourcea, una peculiaridad que ha resultado muy sospechosa.
El grupo de aplicaciones empaquetadas se descargan al dispositivo y luego le solicitan al usuario confirmar la instalación camuflándose como Manage Setting, para finalmente ejecutarse en segundo plano.
ESET detecta los juegos que instala el troyano como Android/TrojanDropper.Mapin y el troyano mismo como Android/Mapin. De acuerdo con la telemetría de los expertos, los usuarios de Android en India son los más afectados actualmente, con un 73,58 % de detecciones observadas.
Este troyano toma el control del dispositivo y lo hace formar parte de una botnet bajo el control del atacante; y además, tiene la capacidad de establecer un contador que retrasa la ejecución del código malicioso para que resulte menos obvio que el juego troyanizado es responsable de este comportamiento.
En algunas variantes de esta amenaza se necesitaron al menos 3 días para activar todas las funcionalidades del troyano. Muy probablemente, este retraso en la activación es lo que ha permitido a esta amenaza pasar a través del sistema de prevención de malware de Google Bouncer.
Virus en Android
Lo más interesante de este troyano es que estuvo disponible para su descarga de la tienda oficial de Google Play a finales de 2013 y 2014 camuflado dentro de aplicaciones como Hill climb racing the game, Plants vs zombies 2, Subway suffers, Traffic Racer, Temple Run 2 Zombies y Super Hero Adventure por los desarrolladores TopGame24h, TopGameHit y SHSH.
El malware se subió a Google Play entre el 24 y el 30 de noviembre de 2013, y el 22 de noviembre de 2014.
Tras instalarse, el troyano solicita permisos de administrador del dispositivo y empieza a comunicarse con su centro remoto de mando y control. Android/Mapin contiene múltiples funcionalidades, tales como enviar notificaciones al usuario, descargar, instalar y ejecutar aplicaciones y obtener la información privada del usuario, pero su principal propósito parece que es mostrar anuncios a pantalla completa en el dispositivo infectado.
Equipo de redacción de GizTab
