Trojan.Android.Geinimi.A virus

Se puede saber si el virus está en el sistema si hay presencia de un servicio llamado AndroidIME iniciado por uno de los siguientes procesos:

• com.dseffects.MonkeyJump2
• com.swampý.sexpos
• com.computertimeco.android.alienspresident

Dicho troyano pertenece a la plataforma Android. Puede ser encontrado en varios juegos y aplicaciones legítimos, hasta ahora, la primera versión ha sido enviada en aplicaciones como:

• Monkey Jump 2
• Sex Positions Social
• Aliens vs. President

Al parecer los creadores han tomado estas aplicaciones y agregado el código malicioso para después redistribuirlo en la web en archivos compartidos, no se han visto aplicaciones infectadas en el sitio oficial de Android. Una diferencia visible entre la versión original y la infectada puede ser una lista de permisos requeridos, los mas importantes son los siguientes:

• android.permission.READ_SMS
• android.permission.SEND_SMS
• android.permission.RECEIVE_SMS
• android.permission.WRITE_SMS

Estos permisos permiten al troyano total acceso a los mensajes de texto, lo cual permite leerlos, enviar nuevos y ser notificado cuando se recibe uno.

El troyano está compuesto de la siguiente manera:

• una actividad, android:name=”[g_pkg].c.rufCuAtj”
• un servicio, android:name=”[g_pkg].c.AndroidIME”
• un receptor de transmisión, android:name=”[g_pkg].f”

[g_pkg] es una cadena compuesta del nombre del paquete original de la aplicación  y una subrutina de su último componente:
ex. com.dseffects.MonkeyJump2 -> com.dseffects.MonkeyJump2.jump2

La actividad inicia cuando el usuario da click en el ícono de la aplicación infectada. Recomendamos tomar precauciones y mantener su antivirus actualizado.

 

 

 

 

Tagged android, antivirus, malware, Trojan.Android.Geinimi.A, virus