La nueva familia de malware para Android evade la detección de antivirus mediante el uso de bibliotecas publicitarias populares

El equipo de inteligencia de amenazas de Palo Alto Networks, la Unidad 42, acaba de descubrir “Gunpoder”, una nueva familia de malware de Android que evade todos los productos antivirus del servicio web VirusTotal.
Hasta hace poco, los motores antivirus habían clasificado a Gunpoder como «benigno» o «adware», lo que demuestra la fina línea que hay al distinguir entre malware y adware.
Llamó a esta familia de malware «Gunpoder» según el nombre del componente malicioso principal, y el equipo de la Unidad 42 observó 49 muestras únicas en tres variantes diferentes. Este hallazgo destaca la delgada línea entre el «adware», que tradicionalmente no se evita con los productos antivirus, y el malware, con su capacidad de causar daño.
Se han cargado muestras de Gunpoder en VirusTotal desde noviembre de 2014, y todos los motores antivirus informan veredictos «benignos» o «adware», lo que significa que los controles heredados no evitarían la instalación de este malware. Mientras investigábamos la muestra, observamos que, si bien contenía muchas características de adware y, de hecho, incrusta una biblioteca de adware popular en ella, también se descubrieron una serie de actividades abiertamente maliciosas, que creemos que caracterizan a esta familia como malware, como:

• Recopilar información confidencial de los usuarios
• Propagándose por mensaje SMS
• Impulsar anuncios potencialmente fraudulentos
• Capacidad para ejecutar cargas útiles adicionales

Gunpoder apunta a usuarios de Android en al menos 13 países diferentes, incluidos Irak, Tailandia, India, Indonesia, Sudáfrica, Rusia, Francia, México, Brasil, Arabia Saudita, Italia, Estados Unidos y España. Una observación interesante de la ingeniería inversa de Gunpoder es que esta nueva familia de Android solo se propaga entre usuarios fuera de China.
Encuentre el enlace a los resultados completos de la investigación. aquí.