El laboratorio Dr.Web ha vuelto a descubrir malware alojado Google Play. Aunque se ha alertado a Google a finales de enero y ya han retirado algunas de las apps, aún quedan algunas online. Son juegos aparentemente inocentes que, además del robo de información habitual, descargan otro apk oculto en una imagen, lo decodifican, e intentan ejecutarlo.
Son juegos muy elaborados, completamente funcionales y bastante atractivos visualmente. Además, son introducidos por decenas en Google Play con diferentes cuentas y nombres de desarrolladores. Esto indica una perfecta planificación, especialidad y experiencia en el mundo de malware que se cuela en Google Play. De hecho, casi todas las casas antivirus los han posicionado dentro de la familia de Xynyin (o Xiny, o Xinyin, dependiendo del motor). De hecho se ha barajado la posibilidad (además de por los datos aportados por Dr.Web, por otras características similares) de que sea una de las variantes más primitivas de lo que luego derivó en malware más sofisticado, como Kemoge, Odpa, Brain Test...
Aunque Dr. Web no da muchos detalles del análisis realizado, esta rama de malware (por no realizar un "rooteo activo") se acerca más al adware extremadamente agresivo, y por tanto se emparenta como la rama más "primitiva" de la familia. En esta ocasión, con este malware bautizado Xiny.19, han introducido algo tan curioso como la esteganografía. Descargan una imagen y, usando un algoritmo que publica Dr.Web, extraen de él el archivo dex que más tarde será cargado en el teléfono con DexClassLoader. Aunque en esta ocasión no intentan rootear el sistema. Con esta salvedad, la fórmula entra dentro del modo de operar habitual de todas estas familias: un juego funcional roba información e intenta descargar un payload diferente e instalarlo de la manera más silenciosa posible.
ELEVENPATHS (15-02-2016)
