MALWARE PARA ANDROID RECIN DESCUBIERTO SECUESTRA SU TELFONO

CUANDO USTED CREE QUE SE HA APAGADO.

El equipo de seguridad mvil AVG recientemente descubri el malware que
puede desafiar a este preconcepto. El malware, conocido como Android /
PowerOffHijack, secuestra el proceso de cierre y el dispositivo sigue siendo
funcional a pesar de que parece estar apagado.
El malware afecta a las versiones de Android anteriores a la versin 5
(Lollipop) y requiere permisos de root para secuestrar el proceso de
apagado.
Despus de pulsar el botn de encendido, el telfono muestra una
animacin de apagado autntico, y el telfono aparece apagado. Aunque la
pantalla es de color negro, que todava est encendido.
Mientras el telfono est en este estado, el malware puede hacer llamadas
salientes, tomar fotografas y realizar muchas otras tareas sin notificrselo.
Cmo sucede esto?
Analizar el proceso de cierre
En los dispositivos Android, al pulsar el botn de apagado se invocar la
funcin interceptKeyBeforeQueueing del interceptKeyBeforeQueueing clase.
interceptKeyBeforeQueueing comprobar si se pulsa el botn de apagado y
vaya a cierto proceso.

Cuando se suelta el botn de encendido, intereceptPowerKeyUp se invoca y

que dar lugar a un ejecutable para continuar.

As que de acuerdo a cdigo anterior, pudimos ver que en cambiar

LONG_PRESS_POWER_GLOBAL_ACTIONS, se realizarn algunas acciones
despus de soltar el botn de apagado. showGlobalActionsDialog es lo que
nos importa, que abrir un cuadro de dilogo para sus para seleccionar
acciones, como la alimentacin, modo silencio o avin.

As
que
si
la
opcin
que
seleccione
mWindowManagerFuncs.shutdown ser llamado.

alimentacin,

Pero mWindowManagerFuncs es un objeto de interfaz. En realidad llamar

funcin
de
desconexin
de
la
ShutDownThread
hilo.
ShutDownThread.shutdown es el punto de entrada real del proceso de
apagado. Se cerrar el servicio de radio primero e invocar el servicio de
administracin de energa para apagar la unidad.
As que finalmente en el servicio encargado de la energa, una funcin
nativa se llama a apagar la unidad.
Ahora hemos comprendido todo el proceso de apagar el mvil. As que si
queremos secuestrar el proceso de apagado, definitivamente tenemos que
interferir antes mWindowManagerFuncs.shutdown como que cierra el
servicio de radio.
Volvamos de nuevo a que el malware que ejecuta un ataque similar.
Analizando el malware
En primer lugar, se aplica para el permiso de root.
En segundo lugar, tras la adquisicin de permisos de root, el malware
inyectar
el
proceso
system_server
y
enganche
el
objeto
mWindowManagerFuncs.
En tercer lugar, despus de que el gancho, al pulsar el botn de encendido,
un dilogo falso aparecer. Y si la opcin de seleccionar apagado, se
mostrar una falsa cerr animacin, dejando el poder encendido pero la
pantalla se apague.
Por ltimo, con el fin de hacer que su mvil como realmente fuera, algunos
servicios del sistema de difusin tambin tienen que ser enganchado.