Instrucciones de eliminación del malware del falso "System Update" dirigido a Android
Escrito por Tomas Meskauskas el
¿Qué es el RAT del falso "System Update"?
El RAT del falso "System Update" es un troyano de acceso remoto (RAT) dirigido a dispositivos Android, que a menudo se disfraza como una aplicación que ofrece actualizaciones del sistema. Sin embargo, cabe mencionar que este troyano se ha observado utilizando otro disfraz: una aplicación que supuestamente ofrece noticias y retransmisiones en directo de la Copa Mundial de la FIFA 2022.
Los RAT son un tipo de malware que permite el acceso y control remotos de las máquinas infectadas. Estos programas maliciosos suelen ser increíblemente versátiles y tienen funcionalidades y usos variados. El malware del falso "System Update" puede llevar a cabo varias actividades maliciosas con un enfoque particular en el espionaje y la recopilación de datos.
Resumen del RAT del falso "System Update"
Como RAT, el malware del falso "System Update" puede permitir el acceso/control remoto de los dispositivos Android infectados. Tras su instalación, solicita una amplia lista de permisos que le permiten llevar a cabo sus actividades maliciosas.
El programa obtiene un mayor control abusando de los Servicios de Accesibilidad de Android, que están diseñados para ofrecer ayuda adicional con la interacción del dispositivo a los usuarios que lo requieran. Los Servicios de Accesibilidad incluyen las siguientes capacidades: leer la pantalla del dispositivo, interactuar con la pantalla táctil, simular el teclado, etc.
Para evitar la desactivación por optimización de la batería, este troyano "System Update" solicita permiso para quedar exento de dicho proceso. La aplicación maliciosa también puede ocultarse del menú del dispositivo. El troyano puede "despertar" al sistema mostrando una falsa notificación "Searching for update.." (Buscando actualización..).
Este RAT comienza sus operaciones recopilando datos relevantes de la máquina (por ejemplo, nombre del dispositivo, detalles del sistema operativo, estadísticas de almacenamiento, aplicaciones instaladas, etc.). Como se ha indicado anteriormente, este troyano tiene amplias capacidades de spyware. Puede gestionar y manipular llamadas y SMS e incluso operar como malware de fraude telefónico de cargos.
En concreto, puede leer, recibir y robar mensajes de texto (SMS). El programa malicioso puede extraer listas de contactos, exfiltrar registros de llamadas, grabar llamadas telefónicas, redirigir llamadas salientes e incluso realizarlas. Su capacidad de grabación de audio tampoco se limita a cuando se está produciendo una llamada activa; el malware puede utilizar el micrófono del dispositivo a la orden en cualquier momento.
Las funciones del RAT pueden activarse automáticamente cuando se recibe un nuevo SMS, se añade un contacto o se instala una aplicación. Este malware también se dirige a los datos asociados con mensajeros, en concreto WhatsApp. El programa puede obtener los mensajes enviados mediante el software de mensajería instantánea, así como sus archivos de base de datos.
También puede inspeccionar las notificaciones recibidas y el contenido copiado en el portapapeles (búfer de copiar y pegar). La geolocalización también es monitorizada, ya sea a través del GPS o de los datos de red.
El troyano puede buscar archivos por extensión (por ejemplo, doc, .docx, .xls, .xlsx, pdf, etc.) y exfiltrarlos. También intenta robar imágenes y vídeos, pero como estos archivos son de gran tamaño y su descarga sería mucho más perceptible, el malware exfiltra sus miniaturas en su lugar.
Los procesos de robo no están limitados por la disponibilidad de Wi-Fi, ya que este troyano del falso "System Update" puede utilizar datos móviles - aunque dentro de ciertas especificaciones para no levantar demasiadas sospechas. Además, el robo de imágenes no se limita a las ya existentes, ya que el programa puede utilizar las cámaras frontal y trasera del dispositivo para tomar fotografías de forma sigilosa.
El RAT se centra en la información relacionada con la navegación y puede robarla del navegador de Internet de Samsung, Google Chrome y Mozilla Firefox. Los datos de interés incluyen: URL visitadas, páginas vistas, consultas buscadas, marcadores, etc.
Cabe mencionar que los desarrolladores de malware a menudo mejoran sus programas; por lo tanto, cualquier iteración futura de este RAT podría tener otras capacidades adicionales.
En resumen, la presencia de malware como el RAT del falso "System Update" en los dispositivos puede provocar graves problemas de privacidad, pérdidas económicas e incluso el robo de identidad.
Si cree que su dispositivo está infectado con este u otro software malicioso, le recomendamos encarecidamente que utilice un antivirus para eliminarlo sin demora.
| Nombre | Troyano de acceso remoto de una falsa "Actualización del sistema" |
| Tipo de amenaza | Malware para Android, aplicación maliciosa. |
| Nombres de detección (variante de aplicación de actualización falsa) | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Spy.829.origin), ESET-NOD32 (Android/Spy.Agent.BOC), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Agent.ya), Lista completa (VirusTotal) |
| Nombres de detección (variante de aplicación falsa de la FIFA) | Avast-Mobile (Android:FakeSys-X [Spy]), ESET-NOD32 (Una variante de Android/Spy.Agent.BOC), Fortinet (Android/Agent.BOC!tr.spy), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Dummy.a), Lista completa (VirusTotal) |
| Síntomas | El dispositivo va lento, la configuración del sistema se modifica sin permiso del usuario, aparecen aplicaciones dudosas, el consumo de datos y batería aumenta significativamente, los navegadores redirigen a sitios web dudosos, se muestran anuncios intrusivos. |
| Métodos de distribución | Archivos adjuntos de correo electrónico infectados, anuncios maliciosos en línea, ingeniería social, aplicaciones engañosas, sitios web fraudulentos. |
| Daños | Robo de información personal (mensajes privados, inicios de sesión/contraseñas, etc.), disminución del rendimiento del dispositivo, la batería se agota rápidamente, disminución de la velocidad de Internet, grandes pérdidas de datos, pérdidas monetarias, robo de identidad (las aplicaciones maliciosas podrían abusar de las aplicaciones de comunicación). |
| Eliminación de Malware (Android) | Para eliminar posibles infecciones de malware, escanee su dispositivo móvil con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de RAT dirigidos a Android
Hemos analizado docenas de programas maliciosos específicos para Android; IcRAT, Ahmyth, Cypher, y PJobRAT son sólo algunos ejemplos de RAT dirigidas a estos sistemas operativos.
Los programas maliciosos pueden tener una amplia gama de capacidades y usos. Sin embargo, independientemente de cómo opere el software malicioso, su presencia en un sistema pone en peligro la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben eliminarse inmediatamente tras su detección.
¿Cómo se infiltró el RAT del falso "System Update" en mi dispositivo?
El RAT en cuestión se ha propagado bajo el disfraz de una aplicación llamada "System Update". Otro de sus disfraces es una app que dice ofrecer actualizaciones y retransmisiones en directo de la Copa Mundial de la FIFA 2022. Se ha observado que esta app de fútbol se distribuye a través de una página de Facebook dedicada al campeonato de 2022, que redirige a un sitio web malicioso que utiliza el mismo disfraz.
Sin embargo, es posible que este troyano se propague también utilizando otras técnicas. Por lo general, el software malicioso se propaga empleando tácticas de phishing e ingeniería social.
Los métodos de distribución más utilizados incluyen: descargas "drive-by" (sigilosas/engañosas), adjuntos/enlaces maliciosos en correo basura (p. ej., correos electrónicos, MP/DM, SMS, etc.), publicidad maliciosa, estafas en línea, canales de descarga poco fiables (p. ej., sitios de programas gratuitos y de terceros, redes de intercambio Peer-to-Peer, etc.), herramientas ilegales de activación de programas ("cracks") y actualizaciones falsas.
¿Cómo evitar la instalación de programas maliciosos?
Recomendamos encarecidamente investigar el software leyendo las condiciones y las reseñas de usuarios/expertos, comprobando los permisos necesarios, verificando la legitimidad del desarrollador, etc. Además, aconsejamos descargar sólo de fuentes oficiales y verificadas.
Además, todos los programas deben activarse y actualizarse utilizando funciones/herramientas legítimas, ya que las herramientas de activación ilegales ("cracking") y los actualizadores de terceros pueden contener malware.
Otra recomendación es tener precaución con los correos electrónicos entrantes, MP/DM, SMS y otros mensajes. Los adjuntos/enlaces presentes en correos sospechosos o irrelevantes no deben abrirse, ya que pueden ser maliciosos y causar infecciones en el sistema.
También aconsejamos estar alerta al navegar, ya que los contenidos fraudulentos y peligrosos en línea suelen parecer auténticos e inofensivos.
Es fundamental tener instalado y actualizado un antivirus de confianza. Este software debe utilizarse para ejecutar análisis regulares del sistema y eliminar las amenazas y problemas detectados.
RAT del falso "System Update" pidiendo permisos (fuente de la imagen - ESET):
Página de Facebook que promociona un sitio malicioso que distribuye el RAT "System Update" (fuente de la imagen - ESET):
Sitio web malicioso que distribuye el RAT "System Update":
Menú de acceso rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador web Chrome?
- ¿Cómo desactivar las notificaciones del navegador Chrome?
- ¿Cómo resetear el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador Firefox?
- ¿Cómo resetear el navegador Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo seguro"?
- ¿Cómo comprobar el uso de la batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado por defecto?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable que se abre.
Pulse "Borrar datos de navegación", seleccione la pestaña "AVANZADO", elija el intervalo de tiempo y los tipos de datos que desea eliminar y pulse "Borrar datos".
Desactivar las notificaciones del navegador en el navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable que se abre.
Baje hasta que vea la opción "Configuración del sitio" y tóquela. Baje hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que envían notificaciones del navegador, pulse sobre ellos y haga clic en "Borrar y restablecer". Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, si vuelve a visitar el mismo sitio, es posible que le vuelva a pedir permiso. Puede elegir si desea conceder estos permisos o no (si decide rechazarlos, el sitio web pasará a la sección "Bloqueados" y ya no le pedirá el permiso).
Resetear el navegador web Chrome:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta encontrar la aplicación "Chrome", selecciónela y pulse la opción "Almacenamiento".
Pulse "ADMINISTRAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirme la acción pulsando "OK". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador Firefox:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable que se abre.
Baje hasta que vea "Borrar datos privados" y tóquelo. Seleccione los tipos de datos que desea eliminar y pulse "BORRAR DATOS".
Desactivar las notificaciones del navegador en el navegador web Firefox:
Visite el sitio web que está enviando notificaciones del navegador, toque el icono que aparece a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta, seleccione la opción "Notificaciones" y pulse "BORRAR".
Resetear el navegador web Firefox:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y pulse sobre ella.
Baje hasta que encuentre la aplicación "Firefox", selecciónela y pulse la opción "Almacenamiento".
Pulse "BORRAR DATOS" y confirme la acción pulsando "BORRAR". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, aparece un mensaje de error), pruebe a utilizar el "Modo seguro".
Arrancar el dispositivo Android en "Modo Seguro":
El "Modo Seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo está funcionando "normalmente").
Pulse el botón de encendido y manténgalo pulsado hasta que aparezca la pantalla "Apagar". Pulse el icono "Apagar" y manténgalo pulsado. Después de unos segundos aparecerá la opción "Modo Seguro" y podrá ejecutarlo reiniciando el dispositivo.
Comprobar el uso de la batería de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Mantenimiento del dispositivo" y tóquelo.
Pulse "Batería" y compruebe el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para utilizar la menor energía posible con el fin de ofrecer la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Comprobar el uso de datos de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Conexiones" y tóquelo.
Desplácese hacia abajo hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar sólo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de datos Wi-Fi.
Si encuentra una aplicación que utiliza muchos datos a pesar de que nunca la utiliza, le recomendamos encarecidamente que la desinstale lo antes posible.
Instalar las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica cuando se trata de la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y fallos de los que pueden aprovecharse los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, por lo que siempre hay que asegurarse de que el software del dispositivo está actualizado.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Actualización de software" y tóquelo.
Pulse "Descargar actualizaciones manualmente" y compruebe si hay actualizaciones disponibles. Si es así, instálalas inmediatamente. También recomendamos activar la opción "Descargar actualizaciones automáticamente" - permitirá que el sistema le notifique cuando se publique una actualización y/o la instale automáticamente.
Restablecer el sistema a su estado por defecto:
Realizar un "Reset de fábrica" es una buena forma de eliminar todas las aplicaciones no deseadas, restablecer la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etcétera. En otras palabras, el dispositivo se restaurará a su estado primitivo.
También puede restaurar los ajustes básicos del sistema y/o simplemente los ajustes de red.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Acerca del teléfono" y tóquelo.
Desplácese hacia abajo hasta que vea "Restablecer" y tóquelo. Ahora elija la acción que desea realizar:
"Restablecer ajustes": restablece todos los ajustes del sistema a sus valores predeterminados;
"Restablecer ajustes de red": restablece todos los ajustes de red a sus valores predeterminados;
"Restablecer datos de fábrica": restablece todo el sistema y borra por completo todos los datos almacenados;
Desactivar las aplicaciones que tengan privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible hay que comprobar siempre qué aplicaciones tienen dichos privilegios y desactivar las que no deberían.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Pantalla de bloqueo y seguridad" y tóquelo.
Desplácese hacia abajo hasta que vea "Otros ajustes de seguridad", tóquelo y, a continuación, toque "Aplicaciones de administrador del dispositivo".
Identifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y, a continuación, toque "DESACTIVAR".
Preguntas frecuentes (FAQ)
Mi dispositivo Android está infectado con el malware RAT del falso "System Update", ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
No, la mayoría de los programas maliciosos se pueden eliminar sin formatear.
¿Cuáles son los principales problemas que puede causar el malware RAT del falso "System Update"?
Las amenazas que plantea el malware dependen de sus funcionalidades y de los objetivos de los ciberdelincuentes. El malware del falso "System Update" es un troyano de acceso remoto (RAT) multifuncional que cuenta con amplias capacidades de espionaje y robo. Normalmente, este tipo de infecciones pueden causar graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cuál es el propósito del malware RAT del falso "System Update"?
En la mayoría de los casos, el malware se utiliza para generar ingresos. Sin embargo, los ciberdelincuentes también pueden utilizar estos programas por diferentes motivos, por ejemplo, para divertirse, llevar a cabo venganzas personales, interrumpir procesos (por ejemplo, sitios web, servicios, empresas, etc.) y lanzar ataques por motivos políticos o geopolíticos.
¿Cómo se infiltró el malware RAT del falso "System Update" en mi dispositivo Android?
El RAT en cuestión se ha observado disfrazado de una aplicación llamada "System Update" y de otra que afirmaba ofrecer contenidos relacionados con la Copa Mundial de la FIFA 2022. Esta última se distribuyó a través de una página de Facebook temática de la Copa Mundial que promocionaba un sitio en el que proliferaba la aplicación maliciosa.
Sin embargo, también pueden utilizarse otras técnicas de distribución. Las más empleadas son: descargas "drive-by", estafas en línea, correos electrónicos y mensajes de spam, canales de descarga dudosos (por ejemplo, sitios web de alojamiento de archivos gratuitos y freeware, redes de intercambio Peer-to-Peer, etc.), herramientas ilegales de activación de programas ("cracks"), actualizadores falsos y publicidad maliciosa.
¡Excelente!
▼ Mostrar discusión.