¿Cómo rootear tu Android con un clic?… Cómo llenar tu PC de Adware

por | 8 julio, 2014
0 comentarios

 

Buenas,

 

Sin ánimo de polémica he visto esta entrada en portada de Menéame (qué por supuesto no tiene responsabilidad alguna en esto, aclaro) una entrada sobre como rootear tu Android. Unas cuantas comprobaciones a lo que hace la aplicación cuenta más cosas sobre ello. Explico un poco el proceso que sigue para que vean como uno puede acabar con algo que no quiere en su PC, y como nadie regala nada. Por supuesto esto no quiere decir que Android sea malo, pero las cosas son como son.

El dominio de descarga de esta aplicación es este  

http://api.kbm2.com/downloadLauncher.ashx?cid=1348

 

Dicho esto, vamos a ver qué hace.

 

Conecta con los siguientes dominios/ips

 

api.kbm2.com

8.25.35.126

content.kbm2.com

54.230.14.164

ajax.googleapis.com

173.194.70.95

 

Y luego hace las siguientes peticiones Web

 

 

 

 

http://api.kbm2.com/launcher/start?beta=OkIaRERkUCkPIxVxEB0eNRpdcGsEGyZFTXFJAw1EPy1NfxVPThUPHT5cSg0ncXsbJBlkCEVaWj9bcARoO2gfQRt2GQkRGQNQCUQhM0xXQBAfQTsPRQs=

http://api.kbm2.com/install/offer.aspx?beta=Wlh8RRt4fTRtb2VxdhBbQlRlK0U3CBNPHwUSaAEMAWdpbBZtDghYGhcdeV92DDcpMBZWQHVBU1lCQw4jX2F9VQEDSWUXAGMJRBVyUhN9JzpQJXQ=

http://api.kbm2.com/App_Themes/Windows2/style.css

http://content.kbm2.com/images/refreshing.gif

http://content.kbm2.com/asset/1266/OneClickRootLogo.png

http://content.kbm2.com/themes/windows2/style.css

http://ajax.googleapis.com/ajax/libs/jquery/1.6.4/jquery.min.js

http://content.kbm2.com/themes/windows/images/button.png

http://content.kbm2.com/js/script.js?file=kbm2.1

http://content.kbm2.com/asset/1863/oneclickrootofferscreen.png

http://content.kbm2.com/asset/1863/oneclickrootofferscreen.png

http://content.kbm2.com/asset/1863/oneclickrootofferscreen.png

http://ajax.googleapis.com/ajax/libs/jquery/1.6.4/jquery.min.js?_=1404784527851

http://api.kbm2.com/events/log?beta=IkY7Njg0TlEVIkg3J3x0MAMuAzgeRxFrYX0Jdzl6Y3MzJThHGj97NjwKPy9PcS0+Wy0rDTV6aXEPAGlPJXs7biItDHBlJEkQRzsEJ0pxPil4AXYeY0AEDn1iZko0OWBjeGBdaEJJMng2MmpfYwMGGGE=

http://api.kbm2.com/events/log?beta=eXRLDFV7EE0CXUokV0YZazFeOVVFdWFrG2M6BxUKd11IJUJIIxg8DW1sQxA9KB4aZUBxPBYQBHxuIw8if00SCAEmOA9YHhBxJgo5cHkUWRg4dFBiCwV9YFNVNH9QVhI0XBBuF1IlHxFUYTxCEzsoHBZQGVdpR0kB

 

Esta petición se hace con un user-agent llamado KBM2 (parece ser el user agent de la app, el resto de peticiones se hacen mediante el navegador)

 

http://api.kbm2.com/launcher/start?beta=OkIaRERkUCkPIxVxEB0eNRpdcGsEGyZFTXFJAw1EPy1NfxVPThUPHT5cSg0ncXsbJBlkCEVaWj9bcARoO2gfQRt2GQkRGQNQCUQhM0xXQBAfQTsPRQs=

La segunda peticion que hace es para descargarse lo que es reconocido como virus:

http://api.kbm2.com/install/offer.aspx?beta=Wlh8RRt4fTRtb2VxdhBbQlRlK0U3CBNPHwUSaAEMAWdpbBZtDghYGhcdeV92DDcpMBZWQHVBU1lCQw4jX2F9VQEDSWUXAGMJRBVyUhN9JzpQJXQ=

 

2014-07-02 22:17:47

http://api.kbm2.com/install/offer.aspx?beta=IBg

F74250F53D8A6C3A2B1528C39D39EA8C

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-30 09:45:10

http://api.kbm2.com/install/offer.aspx?beta=BWt

3346850405D10DF62F208876F09FC446

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-29 10:26:47

http://api.kbm2.com/install/offer.aspx?beta=EBc

CECAF7A47911FAE06B0B9F960520F0F6

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-25 18:15:50

http://api.kbm2.com/install/offer.aspx?beta=Inl

B1B84E570F821CCD6A798EDF8DB4EDD2

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-21 23:07:27

http://api.kbm2.com/install/offer.aspx?beta=W1J

470FF6FFE23C26413873AB1E4CAE325E

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-19 03:02:23

http://api.kbm2.com/install/offer.aspx?beta=ay8

3E74E14DA3C09DD3E12C319FBB30FF27

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-16 06:40:00

http://api.kbm2.com/install/offer.aspx?beta=XH8

6CF11952AA89A98746185BF5A92BCAFF

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-07 12:25:41

http://api.kbm2.com/install/offer.aspx?beta=AQ8

0CBB714D42355805C45D25750A569327

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-06-02 11:00:27

http://api.kbm2.com/install/offer.aspx?beta=YBp

C66C79FFE5E11033E84188FF6EBEBB32

8.25.35.126

US

HTML/ScrInject.B.Gen virus

2014-05-31 16:29:24

http://api.kbm2.com/downloadLauncher.ashx?cid=1

AA6BD34C0CEFD63EE43D030850CCD175

8.25.35.126

US

Win32/KBM.A potentially unwanted application

 

Una de las cosas interesantes que hace es robar la información privada del navegador

process_id: 1224

process_name: OneClickRoot.exe

file: C:Documents and SettingsUserLocal SettingsHistoryHistory.IE5index.dat

file: C:Documents and SettingsUserCookiesindex.dat

La aplicacion pertenece a una “empresa” llamada Best Download Manager, buscando un poco de info sobre la misma te encuentras cosas muy interesantes:

Lo primero es que el 100% de las aplicaciones que sirve esta “empresa” es reconocido por algún antivirus

 

clip_image002

El software creado por dicha empresa es distribuido desde los siguientes sitios:

clip_image004

Dicha empresa está directamente relacionada con los siguientes Publishers. Muchos reconocidos como distribuidores de Adware

 

Yontoo LLC

sterkly LLC

Web Cake

lucky leap

Yontoo LLC

Web Cake

secretsauce

GreyGray

BatBrowse

Browse Fox

outobox

Cling Clang

RightSurf

Los archivos relacionados con la aplicación OneClickRoot por su signature, pongo los que podemos reconocer como adware. Por ejemplo:

 

vuupc.exe 

pdflite.exe 

easyconverterpro.exe 

easypdf.exe 

 

Y por último no lo he probado, así que no sabría decirte si realmente rootea móviles  (no tengo android en estos momentos). Lo que está claro es que hace otras cosas.

 

saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.