Casi todos hemos visto una película o dos en las que los hackers rastrean y espían dispositivos móviles aunque los teléfonos estén apagados. Y, como hacemos con mucho de lo que pasa en el cine, consideramos que es algo ficticio.
Sin embargo, en 2015 el equipo de seguridad móvil de AVG descubrió una nueva cepa de malware que podía echar por tierra esa idea. Es un tipo de spyware conocido como Android/PowerOffHijack que se adueña del proceso de apagado, de modo que su teléfono parezca estar apagado cuando en realidad sigue funcionando.
Este spyware se detectó primero en China y se extendió por las tiendas de aplicaciones de ese país, donde infectó miles de dispositivos con versiones de Android anteriores a la v.5 (Lollipop). El usuario debe conceder permiso root al malware para poder secuestrar el proceso de apagado.
Después de pulsar el botón de alimentación, aparece una animación realista de apagado y el teléfono parece haber quedado desactivado. Sin embargo, pese a la pantalla negra, en realidad sigue funcionando.
Mientras está en este estado, el spyware Android/PowerOffHijack puede hacer llamadas, sacar fotos y realizar muchas otras tareas sin que usted se dé cuenta.
¿Cómo sucede?
Cuando se pulsa el botón de apagado en un dispositivo Android, el malware invoca la función interceptKeyBeforeQueueing. interceptKeyBeforeQueueing comprueba si el botón de encendido está pulsado y entonces realiza el proceso siguiente.
Cuando se suelta el botón de encendido, se invoca interceptPowerKeyUp y se activa otro proceso ejecutable.
De acuerdo con el fragmento de código anterior, el conmutador LONG_PRESS_POWER_GLOBAL_ACTIONS indica que se realizarán algunas acciones tras soltar el botón de encendido. showGlobalActionsDialog abrirá un cuadro de diálogo para permitirle activar el apagado del teléfono, silenciarlo o activar el modo avión.
Si selecciona la opción de apagado, el malware invoca mWindowManagerFuncs.shutdown.
Sin embargo, mWindowManagerFuncs es un objeto de interfaz que llama a la función de apagadoShutDownThread. ShutDownThread.shutdown es el inicio en sí del proceso de apagado. Apaga primero el servicio de radio e invoca el servicio de administración de alimentación para apagar la unidad.
Por último, se invoca una función nativa del servicio de administración de alimentación para completar el apagado.
Como mWindowManagerFuncs.shutdown desactiva los servicios de radio del teléfono, cualquier malware que quiera secuestrar el proceso de apagado debe interferir antes de que esta función entre en juego. Veamos cómo lo consigue Android/PowerOffHijack.
Primero, Android/PowerOffHijack solicita permisos root. Tras obtenerlos, el spyware inyecta el proceso system_server y se engancha al proceso mWindowManagerFuncs.
Llegados a este punto, cuando pulse el botón de encendido, verá un cuadro de diálogo falso en vez de la versión auténtica de Android. Si selecciona apagar, obtendrá una animación falsa de cierre y la pantalla se apagará, aunque el dispositivo seguirá encendido.
Por último, para que el teléfono parezca estar apagado de verdad, también es necesario manipular algunos servicios de emisión del sistema.
Veamos algunos ejemplos:
Ni siquiera un spyware tan astuto como Android/PowerOffHijack es rival para AVG AntiVirus para Android. Nuestra completa herramienta de seguridad móvil analiza el dispositivo para detectar y eliminar malware, además de mantenerlo protegido frente a futuros ataques. Proteja sus dispositivos del spyware, los virus y otro malware, y mantenga también sus datos a salvo de ladrones del mundo real con la utilidad Anti-Theft Phone Tracker integrada.
Privacidad | Informar de una vulnerabilidad | Contactar con seguridad | Contratos de licencia | Declaración sobre la esclavitud moderna | Cookies | Declaración de accesibilidad | No vender mi información | | Todas las marcas comerciales de terceros son propiedad de sus respectivos propietarios.
