{"id":5065,"date":"2019-01-15T10:32:32","date_gmt":"2019-01-15T15:32:32","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=5065"},"modified":"2019-01-15T10:41:38","modified_gmt":"2019-01-15T15:41:38","slug":"adware-panini-para-android-puede-consumir-su-plan-de-datos-sin-que-usted-se-de-cuenta","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/adware-panini-para-android-puede-consumir-su-plan-de-datos-sin-que-usted-se-de-cuenta\/","title":{"rendered":"Adware Panini para Android puede consumir su plan de datos, sin que usted se d\u00e9 cuenta"},"content":{"rendered":"\n<p style=\"text-align:center\"><em>SonicWall identific\u00f3 una campa\u00f1a de adware, denominada Panini, que impacta a usuarios con planes de datos m\u00f3viles limitados.<\/em><\/p>\n\n\n\n<p>El equipo de Investigaci\u00f3n de Amenazas de SonicWall identific\u00f3 un&nbsp;<strong><em>Adware<\/em><\/strong>&nbsp;(software que genera propagandas en l\u00ednea sin consentimiento del usuario) que opera sobre el sistema operativo Android y se dispersa utilizando diferentes nombres e iconos de aplicaciones. El archivo no solicita muchos permisos en el dispositivo (a diferencia de la mayor\u00eda de eventos de malware) y su actividad de red comienza t\u00edpicamente despu\u00e9s de que descarga un archivo JAR tras algunos minutos de ejecuci\u00f3n.&nbsp;<\/p>\n\n\n\n<p>Mediante una profunda investigaci\u00f3n, SonicWall Capture Labs encontr\u00f3 m\u00e1s de 500 muestras en tan s\u00f3lo los \u00faltimos dos meses, exhibiendo un comportamiento muy activo en la red. La campa\u00f1a ha sido denominada Panini, debido al nombre clave del archivo JAR que es descargado.&nbsp;<\/p>\n\n\n\n<p>La mayor\u00eda de estos ejemplos utilizan nombres e iconos gen\u00e9ricos de aplicaciones, como Video, Downloader y Music, la siguiente grafica muestra el tipo de nombres que emplea:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"561\" height=\"308\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image006.jpg\" alt=\"\" class=\"wp-image-5067\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image006.jpg 561w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image006-300x165.jpg 300w\" sizes=\"auto, (max-width: 561px) 100vw, 561px\" \/><\/figure><\/div>\n\n\n\n<p>En general, el adware est\u00e1 en un \u00e1rea gris en t\u00e9rminos de ser considerado como un ataque malicioso o incluso para ser bloqueado autom\u00e1ticamente. La mayor\u00eda de las veces no implica un riesgo grave para la privacidad y uso de datos del usuario, como sucede generalmente con las infecciones de malware, sino que suele implicar molestias ligeras cuando se presentan anuncios emergentes y publicidad invasiva en toda el \u00e1rea de la pantalla. Lo que llama la atenci\u00f3n de esta campa\u00f1a es que, al \u201ccamuflarse\u201d como publicidad, no es f\u00e1cilmente detectada como amenaza y, adem\u00e1s, afecta el consumo de datos sin autorizaci\u00f3n.<\/p>\n\n\n\n<p><strong>Similitud de programas<\/strong><\/p>\n\n\n\n<p>Hay una serie de semejanzas entre las diferentes muestras pertenecientes a esta campa\u00f1a de infecci\u00f3n:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Estructura de c\u00f3digo: el c\u00f3digo fuente de infecci\u00f3n se muestra similar a uno original o sano.<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>Lista de permisos: todas las muestras de esta campa\u00f1a solicitan los siguientes permisos:<\/li><\/ul>\n\n\n\n<p>android.permission.INTERNET<\/p>\n\n\n\n<p>android.permission.ACCESS_NETWORK_STATE<\/p>\n\n\n\n<p>android.permission.WRITE_EXTERNAL_STORAGE<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Estructura similar de carpetas de instalaci\u00f3n: la estructura del adware parece similar a la de un archivo sano.\u00a0<\/li><\/ul>\n\n\n\n<ul class=\"wp-block-list\"><li>Iconos utilizados: todas las muestras de esta campa\u00f1a emplean iconos de la siguiente lista:<\/li><\/ul>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"218\" height=\"519\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image008.jpg\" alt=\"\" class=\"wp-image-5068\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image008.jpg 218w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image008-126x300.jpg 126w\" sizes=\"auto, (max-width: 218px) 100vw, 218px\" \/><\/figure><\/div>\n\n\n\n<p><strong>Trucos visuales con los iconos&nbsp;<\/strong><\/p>\n\n\n\n<p>Para las apps de esta campa\u00f1a, el icono que se visualiza en el gestor de aplicaciones tras la instalaci\u00f3n es diferente al que aparec\u00eda antes.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"616\" height=\"154\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image009-1.png\" alt=\"\" class=\"wp-image-5075\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image009-1.png 616w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image009-1-300x75.png 300w\" sizes=\"auto, (max-width: 616px) 100vw, 616px\" \/><\/figure><\/div>\n\n\n\n<p><em>Una vez instalado, el icono que se despliega en el gestor de aplicaciones luce diferente:<\/em><\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"239\" height=\"430\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image011.jpg\" alt=\"\" class=\"wp-image-5070\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image011.jpg 239w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image011-167x300.jpg 167w\" sizes=\"auto, (max-width: 239px) 100vw, 239px\" \/><\/figure><\/div>\n\n\n\n<p>Probablemente, la raz\u00f3n para este cambio puede ser debido a que el usuario notar\u00eda un \u00edcono nuevo en el gestor de aplicaciones y podr\u00eda intentar abrirlo por curiosidad para descubrir cuando instal\u00f3 esta nueva aplicaci\u00f3n o para qu\u00e9 sirve. Esta es una t\u00e1ctica inteligente que obliga a la v\u00edctima a acceder a la aplicaci\u00f3n y, por ende, ejecutar el adware.&nbsp;<\/p>\n\n\n\n<p>Una vez que el adware se ejecuta, el icono desaparece del gestor de aplicaciones. Si la v\u00edctima intenta remover esta aplicaci\u00f3n desde la configuraci\u00f3n del dispositivo encontrar\u00e1 un icono diferente al que vio originalmente. Esta estrategia est\u00e1 probablemente pensada para confundir al usuario cuando trate de desinstalar el app:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"476\" height=\"361\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image013.jpg\" alt=\"\" class=\"wp-image-5071\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image013.jpg 476w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image013-300x228.jpg 300w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image013-180x138.jpg 180w\" sizes=\"auto, (max-width: 476px) 100vw, 476px\" \/><\/figure><\/div>\n\n\n\n<p><strong>Consecuencias de Panini<\/strong><\/p>\n\n\n\n<p>El archivo romanticpanini se almacena localmente en la carpeta app_extra:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"545\" height=\"40\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image014.png\" alt=\"\" class=\"wp-image-5077\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image014.png 545w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image014-300x22.png 300w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image014-540x40.png 540w\" sizes=\"auto, (max-width: 545px) 100vw, 545px\" \/><\/figure><\/div>\n\n\n\n<p>Una vez que se guarda el archivo JAR, la actividad de red en el dispositivo multiplica y se comienza a ver un alto volumen de tr\u00e1fico relacionado con publicidad; poco tiempo despu\u00e9s se observan anuncios pop up de pantalla complete, present\u00e1ndose con mayor regularidad en el dispositivo infectado:<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"430\" height=\"348\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image016.jpg\" alt=\"\" class=\"wp-image-5072\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image016.jpg 430w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image016-300x243.jpg 300w\" sizes=\"auto, (max-width: 430px) 100vw, 430px\" \/><\/figure><\/div>\n\n\n\n<p>SonicWall midi\u00f3 tr\u00e1fico de red en diferentes condiciones de prueba y observ\u00f3 un alza visible en el tr\u00e1fico de red originado de las muestras de adware.&nbsp;<\/p>\n\n\n\n<p>En promedio, se observa que el consumo de datos durante 10 minutos llegaba a alrededor de 5MB tras la infecci\u00f3n (como se muestra en la siguiente imagen). Esto afecta a los usuarios que tienen un uso de datos limitados o un plan restringido en sus dispositivos, ya que el gasto adicional de datos podr\u00eda generar m\u00e1s cobros en su recibo telef\u00f3nico.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter\"><img loading=\"lazy\" decoding=\"async\" width=\"276\" height=\"476\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image018.jpg\" alt=\"\" class=\"wp-image-5073\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image018.jpg 276w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/image018-174x300.jpg 174w\" sizes=\"auto, (max-width: 276px) 100vw, 276px\" \/><figcaption><br><\/figcaption><\/figure><\/div>\n\n\n\n<p><strong>Distribuci\u00f3n<\/strong><\/p>\n\n\n\n<p>La campa\u00f1a de adware Panini representa un riesgo en consumo de datos. Esta infecci\u00f3n impacta m\u00e1s severamente a usuarios que tienen contratado un plan de datos m\u00f3viles limitado.&nbsp;<\/p>\n\n\n\n<p>Para usuarios con planes ilimitados las afectaciones pueden reflejarse en reducci\u00f3n de velocidad en la navegaci\u00f3n, una vez que se alcanza el consumo promedio estimado por el proveedor de servicio.&nbsp;<\/p>\n\n\n\n<p>Carlos G\u00f3mez, Ingeniero de Ventas de SonicWall para el sur de Latinoam\u00e9rica, recomienda monitorear frecuentemente el consumo de datos en los dispositivos. \u201cAl hacer una revisi\u00f3n de rutina mediante aplicaciones de Monitoreo de Red se puede identificar si una aplicaci\u00f3n en espec\u00edfico est\u00e1 consumiendo mayores vol\u00famenes de datos y podr\u00eda, potencialmente, estar ocultando alguna infecci\u00f3n de adware en el dispositivo\u201d, asegura G\u00f3mez.&nbsp;<\/p>\n\n\n\n<p>Si desea conocer m\u00e1s detalles de esta campa\u00f1a de adware, visite:<a href=\"https:\/\/securitynews.sonicwall.com\/xmlpost\/panini-adware-for-android-soaks-network-bandwidth-bad-news-for-users-with-limited-data\/\">https:\/\/securitynews.sonicwall.com\/xmlpost\/panini-adware-for-android-soaks-network-bandwidth-bad-news-for-users-with-limited-data\/<\/a><\/p>\n\n\n\n<p>Para obtener m\u00e1s informaci\u00f3n sobre SonicWall, visite:<\/p>\n\n\n\n<p>\u25cf&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong><a href=\"https:\/\/twitter.com\/SonicWall\">SonicWall en Twitter<\/a><\/strong><strong><\/strong><\/p>\n\n\n\n<p>\u25cf&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong><a href=\"https:\/\/www.linkedin.com\/company\/SonicWall\">SonicWall en LinkedIn<\/a><\/strong><strong><\/strong><\/p>\n\n\n\n<p>\u25cf&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong><a href=\"https:\/\/www.facebook.com\/SonicWall\">SonicWall en Facebook<\/a><\/strong><strong><\/strong><\/p>\n\n\n\n<p>\u25cf&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<strong><a href=\"https:\/\/www.instagram.com\/sonicwall_inc\">SonicWall en Instagram<\/a><\/strong><strong><\/strong><\/p>\n\n\n\n<p><strong>Acerca de SonicWall<\/strong><\/p>\n\n\n\n<p>SonicWall ha estado luchando contra la industria ciberdelincuente por m\u00e1s de 26 a\u00f1os defendiendo peque\u00f1as y medianas empresas y corporativos en todo el mundo. Respaldados por la investigaci\u00f3n de SonicWall Capture Labs y los formidables recursos de m\u00e1s de 26,000 socios de canal leales en todo el mundo, nuestras galardonadas soluciones de detecci\u00f3n y prevenci\u00f3n de violaciones en tiempo real protegen a m\u00e1s de un mill\u00f3n de negocios, redes m\u00f3viles, as\u00ed como sus correos electr\u00f3nicos, aplicaciones y datos. Esta combinaci\u00f3n de productos y socios ha permitido una soluci\u00f3n automatizada de detecci\u00f3n y prevenci\u00f3n de fallas en tiempo real ajustada a las necesidades espec\u00edficas de las m\u00e1s de 500,000 organizaciones en m\u00e1s de 200 pa\u00edses y territorios. Estas empresas pueden funcionar de manera m\u00e1s efectiva y temen menos acerca de la seguridad. Para obtener m\u00e1s informaci\u00f3n, visite\u00a0<a href=\"http:\/\/www.sonicwall.com\/\">www.sonicwall.com<\/a>.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img loading=\"lazy\" decoding=\"async\" width=\"356\" height=\"59\" src=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2018\/08\/Sypsertec-sas-negro-peq-2.png\" alt=\"\" class=\"wp-image-3256\" srcset=\"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2018\/08\/Sypsertec-sas-negro-peq-2.png 356w, https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2018\/08\/Sypsertec-sas-negro-peq-2-300x50.png 300w\" sizes=\"auto, (max-width: 356px) 100vw, 356px\" \/><\/figure>\n\n\n\n<p>Agencia de Prensa y Relaciones P\u00fablicas<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SonicWall identific\u00f3 una campa\u00f1a de adware, denominada Panini, que impacta a usuarios con planes de datos m\u00f3viles limitados. El equipo de Investigaci\u00f3n de Amenazas de SonicWall identific\u00f3 un&nbsp;Adware&nbsp;(software que genera propagandas en l\u00ednea sin consentimiento del usuario) que opera sobre el sistema operativo Android y se dispersa utilizando diferentes nombres e iconos de aplicaciones. El [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5078,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","footnotes":""},"categories":[104],"tags":[117,195,119],"class_list":["post-5065","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-vmware","tag-ciberseguridad","tag-syspertec","tag-tecnologia"],"jetpack_featured_media_url":"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2019\/01\/Carlos-Go\u0301mez-1.jpg","_links":{"self":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/5065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/comments?post=5065"}],"version-history":[{"count":2,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/5065\/revisions"}],"predecessor-version":[{"id":5080,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/5065\/revisions\/5080"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media\/5078"}],"wp:attachment":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media?parent=5065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/categories?post=5065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/tags?post=5065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}