Blog AVG Signal Seguridad Sugerencias El malware sigue espiándolo aunque tenga el teléfono apagado
Malware_Is_Still_Spying_On_You_Even_When_Your_Mobile_Is_Off-Hero

Sin embargo, en 2015 el equipo de seguridad móvil de AVG descubrió una nueva cepa de malware que podía echar por tierra esa idea. Es un tipo de spyware conocido como Android/PowerOffHijack que se adueña del proceso de apagado, de modo que su teléfono parezca estar apagado cuando en realidad sigue funcionando.

Este artículo contiene:

    The AVG Virus Lab is made of an advanced team of cybersecurity researchers

    Este spyware se detectó primero en China y se extendió por las tiendas de aplicaciones de ese país, donde infectó miles de dispositivos con versiones de Android anteriores a la v.5 (Lollipop). El usuario debe conceder permiso root al malware para poder secuestrar el proceso de apagado.

    Después de pulsar el botón de alimentación, aparece una animación realista de apagado y el teléfono parece haber quedado desactivado. Sin embargo, pese a la pantalla negra, en realidad sigue funcionando.

    Mientras está en este estado, el spyware Android/PowerOffHijack puede hacer llamadas, sacar fotos y realizar muchas otras tareas sin que usted se dé cuenta.

    ¿Cómo sucede?

    Análisis del proceso de apagado de Android

    Cuando se pulsa el botón de apagado en un dispositivo Android, el malware invoca la función interceptKeyBeforeQueueing. interceptKeyBeforeQueueing comprueba si el botón de encendido está pulsado y entonces realiza el proceso siguiente.

    The interceptKeyBeforeQueueing function in the Android mobile OS.Cuando se suelta el botón de encendido, se invoca interceptPowerKeyUp y se activa otro proceso ejecutable.

    Runnable code triggered by the interceptPowerKeyUp function in the Android mobile OS.De acuerdo con el fragmento de código anterior, el conmutador LONG_PRESS_POWER_GLOBAL_ACTIONS indica que se realizarán algunas acciones tras soltar el botón de encendido. showGlobalActionsDialog abrirá un cuadro de diálogo para permitirle activar el apagado del teléfono, silenciarlo o activar el modo avión.

    Power off options within Android's shutdown procedure.Si selecciona la opción de apagado, el malware invoca mWindowManagerFuncs.shutdown.

    The mWindowManagerFuncs.shutdown interface object in the Android mobile OS.

    Sin embargo, mWindowManagerFuncs es un objeto de interfaz que llama a la función de apagadoShutDownThread. ShutDownThread.shutdown es el inicio en sí del proceso de apagado. Apaga primero el servicio de radio e invoca el servicio de administración de alimentación para apagar la unidad.

    Por último, se invoca una función nativa del servicio de administración de alimentación para completar el apagado.

    The power manager service in the Android mobile OS.The native shutdown function in the Android mobile OS.Como mWindowManagerFuncs.shutdown desactiva los servicios de radio del teléfono, cualquier malware que quiera secuestrar el proceso de apagado debe interferir antes de que esta función entre en juego. Veamos cómo lo consigue Android/PowerOffHijack.

    Análisis del malware

    Primero, Android/PowerOffHijack solicita permisos root. Tras obtenerlos, el spyware inyecta el proceso system_server y se engancha al proceso mWindowManagerFuncs.

    Llegados a este punto, cuando pulse el botón de encendido, verá un cuadro de diálogo falso en vez de la versión auténtica de Android. Si selecciona apagar, obtendrá una animación falsa de cierre y la pantalla se apagará, aunque el dispositivo seguirá encendido.

    A portion of code demonstrating how Android/PowerOffHijack takes over an Android device's shutdown process.

    Por último, para que el teléfono parezca estar apagado de verdad, también es necesario manipular algunos servicios de emisión del sistema.

    Veamos algunos ejemplos:

    Grabar una llamada

    Code showing how the Android/PowerOffHijack Android spyware records a callTransmitir mensajes privados

    Code showing how the Android/PowerOffHijack Android spyware sends messages

    Luchar contra el spyware mediante AVG AntiVirus para Android

    Ni siquiera un spyware tan astuto como Android/PowerOffHijack es rival para AVG AntiVirus para Android. Nuestra completa herramienta de seguridad móvil analiza el dispositivo para detectar y eliminar malware, además de mantenerlo protegido frente a futuros ataques. Proteja sus dispositivos del spyware, los virus y otro malware, y mantenga también sus datos a salvo de ladrones del mundo real con la utilidad Anti-Theft Phone Tracker integrada.

    Proteja su iPhone de amenazas con AVG Mobile Security

    Instalación gratis

    Proteja su dispositivo Android de amenazas con AVG AntiVirus

    Instalación gratis