MALWARE PARA ANDROID RECIN DESCUBIERTO SECUESTRA SU TELFONO CUANDO USTED CREE QUE SE HA APAGADO.

El equipo de seguridad mvil AVG recientemente descubri el malware que puede desafiar a este preconcepto. El malware, conocido como Android / PowerOffHijack, secuestra el proceso de cierre y el dispositivo sigue siendo funcional a pesar de que parece estar apagado.

El malware afecta a las versiones de Android anteriores a la versin 5 (Lollipop) y requiere permisos de root para secuestrar el proceso de apagado.

Despus de pulsar el botn de encendido, el telfono muestra una animacin de apagado autntico, y el telfono aparece apagado. Aunque la pantalla es de color negro, que todava est encendido.

Mientras el telfono est en este estado, el malware puede hacer llamadas salientes, tomar fotografas y realizar muchas otras tareas sin notificrselo.

Cmo sucede esto?

Analizar el proceso de cierre

En los dispositivos Android, al pulsar el botn de apagado se invocar la funcin interceptKeyBeforeQueueing del interceptKeyBeforeQueueing clase. interceptKeyBeforeQueueing comprobar si se pulsa el botn de apagado y vaya a cierto proceso.

Cuando se suelta el botn de encendido, intereceptPowerKeyUp se invoca y que dar lugar a un ejecutable para continuar.

As que de acuerdo a cdigo anterior, pudimos ver que en cambiar LONG_PRESS_POWER_GLOBAL_ACTIONS, se realizarn algunas acciones despus de soltar el botn de apagado. showGlobalActionsDialog es lo que nos importa, que abrir un cuadro de dilogo para sus para seleccionar acciones, como la alimentacin, modo silencio o avin.

As que si la opcin que seleccione alimentacin, mWindowManagerFuncs.shutdown ser llamado.

Pero mWindowManagerFuncs es un objeto de interfaz. En realidad llamar funcin de desconexin de la ShutDownThread hilo. ShutDownThread.shutdown es el punto de entrada real del proceso de apagado. Se cerrar el servicio de radio primero e invocar el servicio de administracin de energa para apagar la unidad.

As que finalmente en el servicio encargado de la energa, una funcin nativa se llama a apagar la unidad.

Ahora hemos comprendido todo el proceso de apagar el mvil. As que si queremos secuestrar el proceso de apagado, definitivamente tenemos que interferir antes mWindowManagerFuncs.shutdown como que cierra el servicio de radio.

Volvamos de nuevo a que el malware que ejecuta un ataque similar.

Analizando el malware

En primer lugar, se aplica para el permiso de root.

En segundo lugar, tras la adquisicin de permisos de root, el malware inyectar el proceso system_server y enganche el objeto mWindowManagerFuncs.

En tercer lugar, despus de que el gancho, al pulsar el botn de encendido, un dilogo falso aparecer. Y si la opcin de seleccionar apagado, se mostrar una falsa cerr animacin, dejando el poder encendido pero la pantalla se apague.

Por ltimo, con el fin de hacer que su mvil como realmente fuera, algunos servicios del sistema de difusin tambin tienen que ser enganchado.