Cómo eliminar AridSpy de los dispositivos infectados
Escrito por Tomas Meskauskas el
¿Qué es AridSpy?
AridSpy es un malware (troyano) dirigido a usuarios de Android. Los ciberdelincuentes distribuyen AridSpy a través de aplicaciones troyanizadas que contienen un código malicioso. Este malware se utiliza para robar diversa información de los dispositivos Android infectados. AridSpy debe eliminarse de los dispositivos infectados lo antes posible.
AridSpy en detalle
Una vez instalada una aplicación troyanizada con AridSpy, el malware comprueba la presencia de herramientas de seguridad específicas en el sistema operativo y envía esta información al servidor de mando y control (C2). Si el malware comprueba que ninguna de las herramientas de seguridad de su lista está instalada, descarga la carga útil de la primera fase.
El payload inicial se hace pasar por una actualización de los servicios de Google Play. Cuando los usuarios instalan esta actualización maliciosa, se hace pasar por nombres como Play Manager o Service Google. Esta carga útil funciona de forma independiente y no requiere que la aplicación troyanizada esté presente en el mismo dispositivo.
La función de la carga útil de primera etapa es descargar la carga útil de segunda etapa, que es un ejecutable Dalvik. La carga útil de segunda etapa contiene la funcionalidad maliciosa, diseñada específicamente para la exfiltración de datos.
AridSpy puede recopilar una amplia gama de datos, como registros de llamadas, listas de contactos, mensajes de texto, ubicación del dispositivo, bases de datos de WhatsApp, datos del portapapeles, notificaciones recibidas, comunicaciones de Facebook Messenger y WhatsApp, marcadores (e historial de búsqueda) de varios navegadores y archivos con determinadas extensiones almacenados en el almacenamiento externo.
Además, el malware graba llamadas telefónicas, toma fotos, graba audio a través del micrófono y realiza keylogging capturando todo el texto visible y editable en cualquier app instalada.
| Nombre | AridSpy Trojan |
| Tipo de amenaza | Android malware, aplicación maliciosa, troyano |
| Nombres de detección | Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Spyware.AridSpy.A), ESET-NOD32 (Una variante de Android/Spy.AridSpy.A), Kaspersky (HEUR:Trojan-Spy.AndroidOS.Dummy.c), Lista completa (VirusTotal) |
| Síntomas | El dispositivo funciona con lentitud, la configuración del sistema se modifica sin el permiso del usuario, aparecen aplicaciones dudosas, el consumo de datos y batería aumenta significativamente, los navegadores redirigen a sitios web dudosos y aparecen anuncios intrusivos. |
| Métodos de distribución | Aplicaciones troyanizadas, tiendas de aplicaciones de terceros, sitios web engañosos |
| Daños | Robo de información personal (mensajes privados, nombres de usuario/contraseñas, etc.), disminución del rendimiento del dispositivo, la batería se agota rápidamente, disminución de la velocidad de Internet, grandes pérdidas de datos, pérdidas monetarias, robo de identidad. |
| Eliminación de Malware (Android) | Para eliminar posibles infecciones de malware, escanee su dispositivo móvil con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Posibles daños
Las amplias capacidades del malware AridSpy pueden acarrear graves consecuencias negativas para las víctimas. Esto puede incluir el robo de identidad y el fraude financiero. Los datos robados pueden utilizarse para suplantar la identidad de las víctimas u obtener acceso no autorizado a sus cuentas e información financiera. Además, las víctimas pueden sufrir pérdidas económicas.
Además, las víctimas pueden ver vigiladas sus conversaciones y actividades privadas sin su conocimiento ni consentimiento, lo que da lugar a violaciones de su intimidad. En general, las capacidades de AridSpy suponen graves riesgos y daños potenciales para las víctimas.
¿Cómo se infiltró AridSpy en mi dispositivo?
AridSpy se distribuye a través de versiones troyanizadas de aplicaciones legítimas, como LapizaChat, NortirChat y ReblyChat. Estas aplicaciones imitan a programas reales como StealthChat, Session y Voxer Walkie Talkie Messenger, y afirman falsamente que ofrecen servicios de chat seguros.
Además, el malware también se propaga a través de aplicaciones que se hacen pasar por el Registro Civil Palestino y una aplicación de oportunidades de empleo, ninguna de las cuales son versiones troyanizadas de aplicaciones legítimas existentes. Los dispositivos se infectan al descargar e instalar aplicaciones maliciosas a través de sitios web de terceros o tiendas de aplicaciones.
¿Cómo evitar la instalación de malware?
Descarga aplicaciones de fuentes oficiales (páginas oficiales y tiendas de aplicaciones). Evita descargarlas de otras fuentes para evitar descargar aplicaciones maliciosas o no deseadas. Además, lee las reseñas y comprueba las valoraciones antes de instalar cualquier aplicación. No abra enlaces en correos electrónicos sospechosos o mensajes de direcciones o números desconocidos.
Evite interactuar con ventanas emergentes, anuncios, botones y contenidos similares mostrados en sitios sospechosos. Analice regularmente sus dispositivos en busca de aplicaciones no deseadas y elimine las amenazas detectadas. Además, mantenga actualizadas todas las aplicaciones y el sistema operativo.
Captura de pantalla de las aplicaciones troyanizadas (NortirChat, ReblyChat, LapizaChat) que contienen AridSpy - fuente: welivesecurity[.]com:
Otros ejemplos de aplicaciones utilizadas para distribuir AridSpy - fuente: welivesecurity[.]com:
Captura de pantalla de AridSpy solicitando la descarga de la carga útil de la primera fase - fuente: welivesecurity[.]com:
Menú rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador Chrome?
- ¿Cómo desactivar las notificaciones del navegador Chrome?
- ¿Cómo reiniciar el navegador Chrome?
- ¿Cómo eliminar el historial de navegación del navegador Firefox?
- ¿Cómo desactivar las notificaciones del navegador Firefox?
- ¿Cómo reiniciar el navegador Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo seguro"?
- ¿Cómo comprobar el uso de la batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado por defecto?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Toca el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y selecciona "Historia" en el menú desplegable que se abre.
Toca "Borrar datos de navegación", selecciona la pestaña "AVANZADO", elige el intervalo de tiempo y los tipos de datos que quieras borrar y toca "Borrar datos".
Desactiva las notificaciones del navegador Chrome:
Toca el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y selecciona "Configuración" en el menú desplegable que se abre.
Desplázate hacia abajo hasta que veas la opción "Configuración del sitio" y tócala. Desplácese hacia abajo hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que envían notificaciones al navegador, pulse sobre ellos y haga clic en "Borrar y restablecer". Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, una vez que vuelvas a visitar el mismo sitio, es posible que te vuelva a pedir un permiso. Puedes elegir si conceder estos permisos o no (si eliges rechazarlos, el sitio web pasará a la sección "Bloqueado" y ya no te pedirá el permiso).
Reinicia el navegador web Chrome:
Ve a "Configuración", desplázate hacia abajo hasta que veas "Aplicaciones" y tócalo.
Desplázate hacia abajo hasta encontrar la aplicación "Chrome", selecciónala y toca la opción "Almacenamiento".
Toca "GUARDAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirma la acción tocando "OK". Tenga en cuenta que al reiniciar el navegador se eliminarán todos los datos almacenados en su interior. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrás que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador Firefox:
Toca el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y selecciona "Historia" en el menú desplegable que se abre.
Desplázate hacia abajo hasta que veas "Borrar datos privados" y tócalo. Seleccione los tipos de datos que desea eliminar y pulse "BORRAR DATOS".
Desactiva las notificaciones del navegador Firefox:
Visite el sitio web que envía las notificaciones del navegador, toque el icono que aparece a la izquierda de la barra de URL (el icono no será necesariamente un "Bloqueo") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta opta por la opción "Notificaciones" y toca "ELIMINAR".
Reinicia el navegador Firefox:
Ve a "Configuración", desplázate hacia abajo hasta que veas "Aplicaciones" y tócalo.
Desplázate hacia abajo hasta encontrar la aplicación "Firefox", selecciónala y toca la opción "Almacenamiento".
Pulse "BORRAR DATOS" y confirme la acción pulsando "ELIMINAR". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrás que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Ve a "Configuración", desplázate hacia abajo hasta que veas "Aplicaciones" y tócalo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, aparece un mensaje de error), pruebe a utilizar el "Modo seguro".
Arranque el dispositivo Android en "Modo seguro":
El "Modo Seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden que los usuarios lo hagan cuando el dispositivo funciona "normalmente").
Pulse el botón "Apagado" y manténgalo pulsado hasta que aparezca la pantalla "Apagado". Pulse el icono "Apagado" y manténgalo pulsado. Después de unos segundos aparecerá la opción "Modo seguro" y podrás ejecutarlo reiniciando el dispositivo.
Comprueba el uso de la batería de varias aplicaciones:
Ve a "Configuración", desplázate hacia abajo hasta que veas "Mantenimiento del dispositivo" y tócalo.
Toca "Batería" y comprueba el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para utilizar la menor energía posible con el fin de proporcionar la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Comprueba el uso de datos de varias aplicaciones:
Ve a "Configuración", desplázate hacia abajo hasta que veas "Conexiones" y tócalo.
Desplázate hacia abajo hasta que veas "Uso de datos" y selecciona esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un uso enorme de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar sólo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debes comprobar el uso de datos tanto en el móvil como en la red Wi-Fi.
Si encuentras una aplicación que consume muchos datos aunque nunca la utilices, te recomendamos encarecidamente que la desinstales lo antes posible.
Instale las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica cuando se trata de la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y fallos de los que pueden aprovecharse los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, por lo que siempre debes asegurarte de que el software de tu dispositivo está actualizado.
Ve a "Configuración", desplázate hacia abajo hasta que veas "Actualización de software" y tócalo.
Pulse "Descargar actualizaciones manualmente" y compruebe si hay actualizaciones disponibles. Si es así, instálelas inmediatamente. También te recomendamos que actives la opción "Descargar actualizaciones automáticamente" para que el sistema te avise cuando se publique una actualización y/o la instale automáticamente.
Restablece el sistema a su estado por defecto:
Realizar un "Restablecimiento de fábrica" es una buena forma de eliminar todas las aplicaciones no deseadas, restablecer la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo será restaurado a su estado primitivo.
También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.
Ve a "Configuración", desplázate hacia abajo hasta que veas "Acerca del teléfono" y tócalo.
Desplázate hacia abajo hasta que veas "Restablecer" y tócalo. Ahora elija la acción que desea realizar:
"Restablecer ajustes" - restablece todos los ajustes del sistema a los valores predeterminados;
"Restablecer ajustes de red" - restablece todos los ajustes relacionados con la red a los valores predeterminados;
"Restablecer datos de fábrica" - restablece todo el sistema y elimina por completo todos los datos almacenados;
Desactive las aplicaciones que tengan privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador, puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible debes comprobar siempre qué apps tienen tales privilegios y desactivar las que no deberían.
Ve a "Ajustes", desplázate hacia abajo hasta que veas "Pantalla de bloqueo y seguridad" y tócalo.
Desplázate hacia abajo hasta que veas "Otros ajustes de seguridad", tócalo y, a continuación, toca "Aplicaciones de administración del dispositivo".
Identifique las aplicaciones que no deberían tener privilegios de administrador, púlselas y, a continuación, pulse "DEACTIVAR".
Preguntas más frecuentes (FAQ)
Mi dispositivo está infectado con el malware AridSpy, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
Formatear su dispositivo de almacenamiento eliminará eficazmente el malware AridSpy de su dispositivo. Sin embargo, también eliminará todos los datos. Se recomienda analizar el dispositivo infectado con una herramienta de seguridad de confianza como Combo Cleaner para ver si AridSpy puede ser detectado y eliminado sin formatear el dispositivo de almacenamiento.
¿Cuáles son los principales problemas que puede causar el malware?
El malware puede causar problemas importantes, como robo de datos, usurpación de identidad, pérdidas económicas e infecciones adicionales. También puede interrumpir el funcionamiento normal del dispositivo y comprometer la estabilidad del sistema.
¿Cuál es el objetivo de AridSpy?
El objetivo de AridSpy es recopilar datos confidenciales y llevar a cabo la vigilancia de los dispositivos infectados.
¿Cómo se infiltró AridSpy en mi dispositivo?
AridSpy suele infiltrarse en los dispositivos a través de aplicaciones troyanizadas que se hacen pasar por software legítimo o mediante descargas e instalaciones engañosas.
¿Me protegerá Combo Cleaner del malware?
Combo Cleaner puede detectar y eliminar eficazmente casi todo el malware conocido. El malware sofisticado a menudo se oculta en lo más profundo del sistema. Por lo tanto, es esencial realizar un análisis completo del sistema para garantizar una detección y eliminación completas.
¡Excelente!
▼ Mostrar discusión.