Noticia [IMPORTANTE] 21 aplicaciones retiradas del Market por contener Malware + parche

[intronauta]

Aunque este tema está en portada creo que es lo suficientemente grave como para que pase desapercibido y al menos que empecemos a tener cuidado con qué instalamos en nuestro sistema.

El problema es que una vez que roban información del terminal (cuentas, contraseñas, accesos bancarios, datos paypal,....) casi lo recomendable es cambiar de terminal además de cambiar contraseñas y demás, ya que usarán el id generado por tu operador de red, posiblemente imei y todo lo que necesiten para hacer uso de ello, así que el tema puede ser grave.

En total son 21 las aplicaciones con malware detectadas y ya publicadas en el market, muchas imitando a otras aplicaciones.
I

• Falling Down
• Super Guitar Solo
• Super History Eraser
• Photo Editor
• Super Ringtone Maker
• Super Sex Positions
• Hot Sexy Videos
• Chess
• 下坠滚球_Falldown
• Hilton Sex Sound
• Screaming Sexy Japanese Girls
• Falling Ball Dodge
• Scientific Calculator
• Dice Roller
• 躲避弹球
• Advanced Currency Converter
• APP Uninstaller
• 几何战机_PewPew
• Funny Paint
• Spider Man
• 蜘蛛侠

Si en el market han conseguido colarlas, no es descabellado imaginar como será la situación en otros sistemas con menos o nulos controles de calidad como applanet y derivados..

http://mashable.com/2011/03/01/android-malware-apps


Como proteger el sistema:

El parche para evitar estos ataques es solo para las versiones vulnerables como eclair y froyo. Gingerbread por ahora esta protegido contra los ataques de este tipo de malware. Por ahora hay dos formas , una creando el archivo protegido manualmente o mediante una aplicación.

• Manualmente -siendo root-

Código:

adb shell
# touch /system/bin/profile
# chmod 644 /system/bin/profile

Fuente: http://forum.xda-developers.com/show...44&postcount=1

• O mediante la aplicación DroiddreamKiller (gracias a @Garcad)

https://market.android.com/details?i...oiddreamkiller

[Garcad]

¡Corregir la pagina de xda!

No Found 404

http://forum.xda-developers.com/showthread.php?t=977154

Archivo DroidDreamMalwarePatch_pre-edify.zip para protegernos de la vulnerabilidad en nuestros SGS aplicable desde Recorvery ClockworkMod

Salu2

[8.5mark]

hay que ser root para instalarlo???sirve para todas las versiones?

Solucionado lo del enlace

[Garcad]

 Cita: Originalmente Escrito por 8.5mark

hay que ser root para instalarlo???sirve para todas las versiones?

Hay dos archivos diferentes para inmunizar de la vulnearbilidad y el otro no se para que dispositivos son.

Ahora lo ultimo que han sacado es una aplicacion que se puede descargar por el Market que puede verificar si el terminal es vulnerable y/o inmunizarlo.



Una ligera traducción que he creado.



DroidDreamKiller market

Adjunto DroidDreamKiller.7z descomprimir con 7zip o WinRaR

md5 81E2B8EA2557E62287A00DD87EE6E8FE de DroidDreamKiller.1.0.7z
md5 CF51E939E75700AB4BBF21F109D7EC8F de DroidDreamKiller.apk

DroidDreamKiller.1.0.7z

md5 1733700AB583AB75685EA93C18AA0B02 de DroidDreamKiller.1.1.7z
md5 043EEE67B74B36AD799CC0E86B18ABEA de DroidDreamKiller.1.1.apk

DroidDreamKiller.1.1.7z

[picoto_333]

Y pensar que yo tenía el Advanced Currency Converter instalado... por suerte acabo de actualizar a 2.2.1 y creo que se ha borrado todo, yo antes no notaba nada raro, pero puede haber dejado algo todavia aun habiendo restaurado todo?

[PedroladaS]

Por el nombre del parche y el del programa deduzco que con usar uno de los 2 métodos será suficiente ¿no?

Yo me he bajado el programa del Market y verifico que está allí de forma gratuita.

Salu2.

[morrokotroko]

Puff!, yo tengo el Chess instalado desde el principio.

Acabo de pasar el dreamkiller y dice que no estoy infectado. Menos mal.

[EseLoKo]

Bueno, yo por si las moscas me he instalado el programa del market y aplicado la solución

[Masouro]

pero que es lo que hay que instalar desde el recovery?aun no lo entendi.Ah!!y no puedo registrarme en xda y no puedo descargar si alguien lo sube a megaup o algun otro le estaria agradecido

[ch64]

Listo, yo también he aplicado la solución del marker, pero al volver a pasarlo me dice que encuentra algo que puede ser debido a que estoy infectado o a que he aplicado la solución. El inglés y yo no nos llevamos bien, supongo que es eso lo que dice ¿podéis confirmarlo?, de ser así se supone que ya no podemos volver a analizar con ese programa porque siempre nos dirá lo mismo ¿cierto?

[SkySun]

podeis explicar como funciona este programa?

[Garcad]

Crea un archivo con nombre profile si no existe y cambia los permisos a ese archivo para que solo pueda leerlo el sistema no podrá hacerlo el propio usuario aun siendo root, de este modo adiós a la amenaza.



Salu2

[alvhergon]

 Cita: Originalmente Escrito por Garcad

Hay dos archivos diferentes para inmunizar de la vulnearbilidad y el otro no se para que dispositivos son.

Ahora lo ultimo que han sacado es una aplicacion que se puede descargar por el Market que puede verificar si el terminal es vulnerable y/o inmunizarlo.



DroidDreamKiller market

Adjunto DroidDreamKiller.7z descomprimir con 7zip o WinRaR

DroidDreamKiller.7z

Te he subido la aplicación a un servidor externo. No creo que nadie ponga problemas, pero si vais a subir algo así, mejor hacerlo a uno externo.

[Garcad]

alvhergon

Gracias Salu2

[SkySun]

 Cita: Originalmente Escrito por Garcad

Crea un archivo con nombre profile si no existe y cambia los permisos a ese archivo para que solo pueda leerlo el sistema no podrá hacerlo el propio usuario aun siendo root, de este modo adiós a la amenaza.



Salu2

Una vez creado el archivo podemos desinstalar el programa? Que función hace realmente ese archivo.
Gracias por la info

[intronauta]

Editado el primer post con más info y los enlaces de Garcad.

El archivo profile impide que el malware obtenga acceso completo al sistema, tampoco es 100% infalible este sistema de protección pero soluciona el problema con el método actual que utiliza este malware.

[Garcad]

Nueva version de DroidDreamKiller.apk actualizada al a version 1.1

Ultima version descarga desde el market o en este enlace

Salu2

[SkySun]

Y su ya estamos infectados, sigue cumpliendo su función? No me digáis que esto va camino de windows....
Algún programa para buscar virus en el sgs ?

[Garcad]

linuxero

Parar estar 100% que nuestro terminal no esta infectado seria suficiente con hacer un reset al estado de fabrica y bloquear la infección con uno de los métodos mencionados y el resto a tu elección.

Si no has descargado e instalado ninguna aplicacion de las que han retirado del Market no estarás infectado.

Salu2