Cómo eliminar el troyano de acceso remoto (RAT) AIVARAT de su dispositivo Android
Escrito por Tomas Meskauskas el
¿Qué es AIVARAT?
AIVARAT es un software malicioso clasificado como RAT (troyano de acceso remoto). Este programa está dirigido a sistemas operativos Android. Los RAT están diseñados para permitir el acceso remoto y el control de las máquinas infectadas.
AIVARAT es un troyano multifuncional - por lo tanto, puede ejercer un alto nivel de control sobre los dispositivos y tiene varias capacidades de robo de información. Además, existe otra versión de AIVARAT que puede funcionar como ransomware de cifrado de datos y bloqueo de pantalla.
Resumen del malware AIVARAT
Como se mencionó en la introducción, AIVARAT permite el acceso remoto y el control de las máquinas infectadas. Este RAT puede extraer una amplia variedad de información, por ejemplo, recuperar datos del sistema, leer archivos de almacenamiento interno, obtener una lista de las aplicaciones instaladas, descargar cualquier tipo de contenido multimedia del dispositivo, etc. AIVARAT puede obtener permisos de administrador y ejecutar comandos Shell.
Este troyano también es capaz de gestionar información de contactos, por ejemplo, adquirir listas de contactos y registros de llamadas, así como leer y enviar SMS. Recuperar notificaciones también está entre las capacidades de AIVARAT. Otra capacidad de robo de datos de este programa es el keylogging (registro de pulsaciones de teclas).
Además, este RAT puede mostrar pantallas de phishing screens (por ejemplo, páginas de inicio de sesión falsas cuando se abre la aplicación real). AIVARAT también puede promocionar cualquier sitio web (por ejemplo, de phishing, de propagación de malware, etc.) mostrando notificaciones falsas.
Otras funcionalidades de este troyano incluyen cambiar el fondo de pantalla, hacer vibrar el teléfono, grabar audio y reproducir música a través del dispositivo. Las técnicas de persistencia de AIVARAT incluyen la ejecución automática una vez que se reinicia el sistema y cada vez que se recibe una nueva notificación.
Además, existe una versión de AIVARAT con características y mejoras adicionales. Esta variante oculta su aplicación maliciosa más a fondo, lo que dificulta su detección. Además de leer archivos, esta versión puede borrarlos. El troyano puede obtener datos de la tarjeta SIM e incluso tomar fotos utilizando la(s) cámara(s) del dispositivo.
Sin embargo, lo más importante es que esta variante de AIVARAT puede funcionar como ransomware. Es capaz de cifrar los archivos de las víctimas y mostrar una notificación que pide un rescate por el descifrado. Además, puede bloquear el dispositivo con un código PIN de cuatro dígitos. Por lo tanto, esta versión puede causar la pérdida permanente de datos.
En resumen, las infecciones por AIVARAT pueden provocar graves problemas de privacidad, pérdidas económicas y robo de identidad. Si sospecha que su dispositivo Android ya está infectado con AIVARAT (u otro malware), le recomendamos encarecidamente que utilice un antivirus para eliminarlo inmediatamente.
| Nombre | Troyano de acceso remoto AIVARAT |
| Tipo de amenaza | Malware para Android, Aplicación maliciosa, RAT (troyano de acceso remoto), Ransomware, Virus de cifrado de archivos, Bloqueador de pantalla, Robo de contraseñas. |
| Nombres de detección | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Backdoor.838.origin), ESET-NOD32 (Una variante de Android/Spy.Agent.BZV), Kaspersky (HEUR:Backdoor.AndroidOS.Agent.fm), Lista completa (VirusTotal) |
| Síntomas | El dispositivo va lento, los ajustes del sistema se modifican sin permiso del usuario, el uso de datos y batería aumenta significativamente, los navegadores redirigen a sitios web dudosos. No se pueden abrir los archivos almacenados en el dispositivo, aparece un mensaje pidiendo un rescate. Los ciberdelincuentes exigen el pago de un rescate (normalmente en bitcoins) para desbloquear los archivos. |
| Métodos de distribución | Archivos adjuntos de correos electrónicos infectados, anuncios maliciosos en línea, ingeniería social, aplicaciones engañosas, sitios web fraudulentos. |
| Daños | Robo de información personal (mensajes privados, nombres de usuario/contraseñas, etc.), disminución del rendimiento del dispositivo, la batería se agota rápidamente, disminución de la velocidad de Internet, grandes pérdidas de datos, pérdidas monetarias, robo de identidad (las aplicaciones maliciosas pueden abusar de las aplicaciones de comunicación). |
| Eliminación de Malware (Android) | Para eliminar posibles infecciones de malware, escanee su dispositivo móvil con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Ejemplos de malware similares
Hemos analizado innumerables programas maliciosos diseñados para infectar sistemas operativos Android; Sandro RAT, BRATA RAT y MRAT son algunos ejemplos de troyanos de acceso remoto, y Lucy, Hackerz - de ransomware dirigido a estos SO.
Hay que mencionar que el malware puede tener diferentes habilidades en varias combinaciones. Sin embargo, independientemente de cómo opere el software malicioso, su presencia en un sistema pone en peligro la integridad del dispositivo y la seguridad del usuario. Por lo tanto, todas las amenazas deben ser eliminadas inmediatamente después de su detección.
¿Cómo se infiltró AIVARAT en mi dispositivo?
Los analistas de Cyble Research Labs han descubierto que AIVARAT se ofrece a la venta en Telegram y en varios foros de hackers. Como ocurre con todo el malware que se pone a disposición de esta manera, la forma en que se prolifera depende de los ciberdelincuentes que lo utilicen en ese momento.
En general, el software malicioso se propaga empleando técnicas de phishing e ingeniería social. Suele camuflarse o empaquetarse con programas o soportes normales.
Los métodos de distribución más habituales son: adjuntos/enlaces maliciosos en correo basura (p. ej., correos electrónicos, SMS, MP/DM, etc.), descargas "drive-by" (furtivas y engañosas), canales de descarga dudosos (p. ej., sitios no oficiales y de software gratuito, redes de intercambio Peer-to-Peer, etc.), herramientas ilegales de activación de programas ("cracks"), estafas en línea, actualizaciones falsas y malvertising (publicidad maliciosa).
¿Cómo evitar la instalación de programas maliciosos?
Recomendamos encarecidamente investigar el software y descargarlo sólo de canales oficiales y verificados. Además, todos los programas deben activarse y actualizarse utilizando funciones/herramientas proporcionadas por desarrolladores auténticos, ya que las herramientas de activación ilegales ("cracks") y los actualizadores falsos pueden contener malware.
Aconsejamos tener precaución con el correo entrante. No deben abrirse los archivos adjuntos ni los enlaces que aparezcan en correos electrónicos, SMS o mensajes sospechosos, ya que podrían infectar el sistema.
Es fundamental tener instalado y actualizado un antivirus de confianza. Este software debe utilizarse para realizar análisis periódicos del sistema y eliminar las amenazas detectadas.
Aspecto del malware AIVARAT promocionado en foros de hackers (GIF):
Menú de acceso rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador web Chrome?
- ¿Cómo desactivar las notificaciones del navegador Chrome?
- ¿Cómo restablecer el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador Firefox?
- ¿Cómo restablecer el navegador Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo seguro"?
- ¿Cómo comprobar el uso de la batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado predeterminado?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable que se abre.
Pulse "Borrar datos de navegación", seleccione la pestaña "AVANZADO", seleccione el intervalo de tiempo y los tipos de datos que desea eliminar y pulse "Borrar datos".
Desactivar las notificaciones del navegador en el navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable abierto.
Desplácese hacia abajo hasta que vea la opción "Configuración del sitio" y tóquela. Desplácese hacia abajo hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que envían notificaciones del navegador, pulse sobre ellos y haga clic en "Borrar y restablecer". Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, si vuelve a visitar el mismo sitio, es posible que le vuelva a pedir permiso. Puede elegir si desea conceder estos permisos o no (si decide rechazarlos, el sitio web pasará a la sección "Bloqueados" y ya no le pedirá el permiso).
Restablecer el navegador web Chrome:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Baje hasta que encuentre la aplicación "Chrome", selecciónela y pulse la opción "Almacenamiento".
Pulse "ADMINISTRAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirme la acción pulsando "OK". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador Firefox:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable que se abre.
Baje hasta que vea "Borrar datos privados" y tóquelo. Seleccione los tipos de datos que desea eliminar y pulse "BORRAR DATOS"..
Desactivar las notificaciones del navegador en el navegador web Firefox:
Visite el sitio web que está enviando notificaciones del navegador, toque el icono que aparece a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta, seleccione la opción "Notificaciones" y pulse "BORRAR".
Restablecer el navegador web Firefox:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y pulse sobre ella.
Baje hasta que encuentre la aplicación "Firefox", selecciónela y pulse la opción "Almacenamiento".
Pulse "BORRAR DATOS" y confirme la acción pulsando "BORRAR". Tenga en cuenta que al reiniciar el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, aparece un mensaje de error), pruebe a utilizar el "Modo seguro".
Arrancar el dispositivo Android en "Modo Seguro":
El "Modo Seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo está funcionando "normalmente").
Pulse el botón de encendido y manténgalo pulsado hasta que aparezca la pantalla "Apagar". Pulse el icono "Apagar" y manténgalo pulsado. Después de unos segundos aparecerá la opción "Modo Seguro" y podrá ejecutarlo reiniciando el dispositivo.
Comprobar el uso de la batería de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Mantenimiento del dispositivo" y tóquelo.
Pulse "Batería" y compruebe el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para utilizar la menor energía posible con el fin de proporcionar la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Comprobar el uso de datos de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Conexiones" y tóquelo.
Desplácese hacia abajo hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar sólo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de datos Wi-Fi.
Si encuentra una aplicación que consume muchos datos aunque nunca la utilice, le recomendamos encarecidamente que la desinstale lo antes posible.
Instalar las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica cuando se trata de la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y fallos de los que pueden aprovecharse los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, por lo que siempre hay que asegurarse de que el software del dispositivo está actualizado.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Actualización de software" y tóquelo.
Pulse "Descargar actualizaciones manualmente" y compruebe si hay actualizaciones disponibles. Si es así, instálalas inmediatamente. También recomendamos activar la opción "Descargar actualizaciones automáticamente" - permitirá que el sistema le notifique cuando se publique una actualización y/o la instale automáticamente.
Restablecer el sistema a su estado por defecto:
Realizar un "Restablecimiento de fábrica" es una buena forma de eliminar todas las aplicaciones no deseadas, restablecer la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, hay que tener en cuenta que se borrarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado primitivo.
También puede restaurar los ajustes básicos del sistema y/o simplemente los ajustes de red.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Acerca del teléfono" y tóquelo..
Desplácese hacia abajo hasta que vea "Restablecer" y tóquelo. Ahora seleccione la acción que desea realizar:
"Restablecer ajustes": restablece todos los ajustes del sistema a sus valores predeterminados;
"Restablecer ajustes de red": restablece todos los ajustes de red a sus valores predeterminados;
"Restablecer datos de fábrica": restablece todo el sistema y borra completamente todos los datos almacenados;
Desactivar las aplicaciones que tengan privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible hay que comprobar siempre qué aplicaciones tienen dichos privilegios y desactivar las que no deberían.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Pantalla de bloqueo y seguridad" y tóquelo.
Desplácese hacia abajo hasta que vea "Otros ajustes de seguridad", tóquelo y, a continuación, toque "Aplicaciones de administrador del dispositivo".
IIdentifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y, a continuación, toque "DESACTIVAR".
Preguntas frecuentes (FAQ)
Mi dispositivo Android está infectado con el malware AIVARAT, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
No, la eliminación de AIVARAT no requiere formateo.
¿Cuáles son los mayores problemas que puede causar el malware AIVARAT?
Las amenazas que plantea un programa malicioso dependen de sus funcionalidades y del modus operandi de los ciberdelincuentes. AIVARAT es un RAT (troyano de acceso remoto), un software diseñado para permitir el acceso y control remotos de los dispositivos infectados. Este troyano puede ejecutar una gran variedad de comandos, así como extraer una amplia gama de datos sensibles. Además, una variante de AIVARAT puede funcionar como ransomware de cifrado de datos y bloqueo de pantalla. En resumen, las infecciones por AIVARAT pueden provocar la pérdida permanente de datos, graves problemas de privacidad, pérdidas económicas y robo de identidad.
¿Cuál es el objetivo del malware AIVARAT?
La mayoría de los programas maliciosos se emplean para generar ingresos. Sin embargo, los ciberdelincuentes también utilizan el malware para divertirse, interrumpir procesos (por ejemplo, sitios web, servicios, empresas, etc.), llevar a cabo rencillas personales e incluso lanzar un ataque por motivos políticos/geopolíticos.
¿Cómo se infiltró el malware AIVARAT en mi dispositivo Android?
Las tácticas de proliferación de programas maliciosos más populares son: "drive-by downloads", archivos adjuntos y enlaces maliciosos en mensajes/correos electrónicos de spam, estafas en línea, fuentes de descarga poco fiables (por ejemplo, sitios web de programas gratuitos y de terceros, redes de intercambio P2P, etc.), publicidad maliciosa, herramientas ilegales de activación de software ("cracking") y actualizaciones falsas. Además, algunos programas maliciosos pueden autopropagarse a través de redes locales y dispositivos de almacenamiento extraíbles (por ejemplo, discos duros externos, memorias USB, etc.).
¡Excelente!
▼ Mostrar discusión.