• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Virus de la Policía en Android: Técnicas usadas para bloquear el movil y como eliminarlo

Virus de la Policía en Android: Técnicas usadas para bloquear el movil y como eliminarlo

14 mayo, 2014 Por Hispasec 7 comentarios

Conocemos el Virus de la Policía que afecta a los ordenadores bloqueando la pantalla y pidiendo dinero para desbloquear el sistema, el comportamiento típico de cualquier «ransomware«. Recientemente se ha descubierto una versión para Android. Vamos a mostrar las técnicas usadas por el atacante para forzar que el malware permanezca en primer plano y persista al reinicio del dispositivo. Por último, ofreceremos una forma para eliminarlo del dispositivo.
Si ejecutamos el Virus de la Policíaen el emulador de Android, vemos una página web en la que nos pide dinero para desinstalar la aplicación. Al igual que ocurre con la versión de escritorio, sin pagar, es imposible de salir de la aplicación porque siempre vuelve al primer plano y no nos deja suficiente tiempo para desinstalarla a partir del menú «Ajustes» de Android.

Hemos usado «jd-gui« para decompilar la aplicación. Sin embargo, con la ofuscación y las técnicas de anti-decompilación, el decompilador no puede decompilar todas las partes del programa por lo que tenemos que usar Eclipse para depurar la aplicación. Es importante observar que las partes de código mostradas en esta entrada han sido convenientemente tratadas.
Para empezar, analizamos el archivo de configuración de la aplicación «AndroidManifest.xml«, que contiene actividades, servicios, permisos usados, identificador de la aplicación (package name), etc. Vemos que el malware tiene el nombre de paquete «com.android«. Con el filtro «MAIN«, podemos comprobar que la actividad «MainActivity» es la primera que se ejecuta cuando el usuario ejecuta la aplicación. Después, se definen dos receptores «ScheduleLockReceiver» y «ScheduleUnlockReceiver» para ejecutarse en procesos diferentes por la etiqueta «:remote» (se explicarán más detalladamente). Por último el «BootstrapReceiver» es un clase que va a registrarse al evento «BOOT_COMPLETED» del móvil y que se llama durante la inicialización del móvil con la prioridad mas alta «999«. De esta forma permite la persistencia al reinicio del móvil. Al tener la prioridad más alta, será una de las primeras clases llamadas durante la inicialización del móvil.
Mirando el código decompilado de la clase «MainActivity«, vemos que lanza la actividad «LockActivity» llamando a la función «startActivity«. En la actividad lanzada hemos encontrado la función «dispatchKeyEvent» que permite al atacante monitorizar y anular los botones del dispositivo (como HOME, BACK, y MENU) y así evitar que el usuario salga de la aplicación fácilmente.

Esa misma clase va a lanzar en segundo plano el servicio «LockService«, que va a programar dos tareas «ScheduleLockReceiver» y «ScheduleUnlockReceiver» a través del «AlarmManager«. La primera tarea se ejecuta cada 2 segundos mientras que la segunda tarea se lanza cada 600 segundos. Como la segunda tarea no está implicada directamente en el bloqueo de la pantalla, nos concentramos en la primera tarea.


Cada vez que la tarea se ejecuta, se ejecuta la función «onReceive» y lanza el servicio «LockService» pasando el parámetro «start.event.type» a 2.

Llamando al servicio, se llama a la función «dispatchEvent«. Con el tipo de evento 2, fuerza la actividad a lanzarse de nuevo. Y así no permite a otra aplicación pasar al primer plano.

Desinstalar el Virus de la Policía en Android
Como no tenemos acceso a la pantalla, no podemos desinstalar manualmente la aplicación desde el menú «Ajustes/Aplicaciones«. Sin embargo, Google proporciona una herramienta llamada «adb«usada por desarrolladores de aplicaciones Android para instalar y desinstalar aplicaciones, grabar logs, etc. Antes de desinstalar una aplicación, necesitamos conocer el nombre del paquete que la identifica. Esta información se encuentra en el archivo de configuración «AndroidManifest.xml«. Podemos ver que en este caso el nombre de paquete del ransomware es «com.android«.
La utilidad «adb» se encuentra incluida dentro del Android SDK disponible para descarga desde:
http://developer.android.com/sdk/index.html

Una vez instalado (descomprimirlo) será necesario conectar el dispositivo infectado al ordenador, localizar la herramienta «adb» en la carpeta «/sdk/platform-tools/» y ejecutar el comando:
adb uninstall com.android
con lo que conseguiremos desinstalar el malware.
Más información:
El virus de la policía «evoluciona» e impide el acceso en modo seguro
http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html, 2012
Nuevas variantes del “virus de la policía”. Ahora para Android
http://blogs.protegerse.com/laboratorio/2014/05/06/nuevas-variantes-del-virus-de-la-policia-ahora-para-android/, 2014
Police Locker land on Android Devices
http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.html, 2014
Java decompiler
http://jd.benow.ca/, 2014
Depurar malware Android con Eclipse
http://laboratorio.blogs.hispasec.com/2014/04/depurar-malware-android-con-eclipse_23.html, 2014
Android Debug Bridge
http://developer.android.com/tools/help/adb.html, 2014
Hash del ransomware:
2e1ca3a9f46748e0e4aebdea1afe84f1015e3e7ce667a91e4cfabd0db8557cbf

una-al-dia (21/06/2011) Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico
http://unaaldia.hispasec.com/2011/06/video-troyano-secuestra-el-ordenador-en.html
una-al-dia (28/02/2012) Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html
una-al-dia (02/03/2012) El virus de la policía «evoluciona» e impide el acceso en modo seguro
http://unaaldia.hispasec.com/2012/03/el-virus-de-la-policia-evoluciona-e.html
una-al-dia (06/03/2012) Más información sobre el virus de la policía
http://unaaldia.hispasec.com/2012/03/mas-informacion-sobre-el-virus-de-la.html
una-al-dia (09/03/2012) El malware de la policía aprovecha un exploit de Java «in-the-wild» y el secreto su «éxito»
http://unaaldia.hispasec.com/2012/03/el-malware-de-la-policia-aprovecha-un.html
una-al-dia (18/03/2012) WhitePaper: Estudio técnico del troyano de la policía
http://unaaldia.hispasec.com/2012/03/whitepaper-estudio-tecnico-del-troyano.html

una-al-dia (24/05/2012) Nuevas versiones del malware de la policía y cómo eludirlas
http://unaaldia.hispasec.com/2012/05/nuevas-versiones-del-malware-de-la.html

Laurent Delosières
ldelosieres@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Comentarios

  1. Luis Fernández dice

    14 mayo, 2014 a las 8:22 pm

    ¡Muy interesante el artículo! 🙂
    Lo único comentar que para poder desinstalarlo por ADB el usuario tendría que tener previamente habilitadas las opciones de desarrollo y, entre ellas, la depuración USB, ¿no es así?
    Si es así, ¿hay alguna otra forma de desinstalarlo?

    Responder
  2. Eugenio M. Vigo dice

    14 mayo, 2014 a las 8:41 pm

    Supongo que siempre cabe la posibilidad de entrar al menú recovery y ejecutar un wipe :S

    Responder
  3. Paginas Web Panama dice

    21 mayo, 2014 a las 4:07 am

    Para mi es mejor evitar estos tipos de virus gracias por su asesoría es muy importante al saber este tipo de informacion gracias

    Responder
  4. Anónimo dice

    21 mayo, 2014 a las 10:18 am

    Gracias por los comentarios. Sí, tiene razón Luis. El usuario necesita de activar el modo desarrollador antes de poder usar la herramienta adb. En cuanto al menu recovery, no esta activado por defecto en cada movil (lo es generalmente en móviles con jailbreak). Tambien, se puede reportar a security@android.com.

    Responder
  5. perico dice

    6 mayo, 2015 a las 11:45 am

    hay una nueva version que impide el acceso por adb

    Responder
  6. Zercade I dice

    22 junio, 2015 a las 1:48 am

    Me siento un dios, gracias a que usaba link2sd y tenia el modo de enlace automático podía entrar y usar el móvil si quitaba la se, además al ponerla podía usarla sin necesidad de ejecutar las apps, fui a donde link2sd me guarda los archivos(/data/exsd2) y busque la apk con el logo de la que me metió el virus, luego fui a aplicaciones del móvil y desinstale el paquete con ese nombre y aquí estoy, compartiendo mi experiencia traumática de 2 horas de forma de agradecimiento a este post que de tanto probar cosas saque la idea de este, muchas gracias ^.^

    Responder
  7. Zercade I dice

    22 junio, 2015 a las 2:03 am

    Por cierto he de añadir que tras encender el móvil en modo avión y coger practica di llegado a administradores de dispositivos y por mucho que pulsase unas 20 veces por segundo este no se desactivo y se ejecuto igualmente(aunque no fueran 20puls/seg si k le di al menos 10 veces y comprobé con otros administradores y en eso si k funcionaba la táctica por lo que realmente creo que bloquea la desactivación tras su activación)
    Y en mi anterior comentario quería decir si quitaba la sd

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR