Encuentran instaladores de malware en aplicaciones para Android con miles de descargas desde Google Play
Investigadores de seguridad encontraron un conjunto de instaladores (droppers) de malware de Android que se infiltraron en la tienda Google Play. Estos son utilizados para instalar troyanos bancarios que pretenden ser actualizaciones de aplicaciones.
Los droppers de malware son una categoría difícil de aplicaciones para detener porque no contienen código malicioso en sí mismos. Y, por lo tanto, pueden pasar más fácilmente las revisiones de Google Play cuando se envían a la tienda.
Al mismo tiempo, no levantan sospechas entre los usuarios, ya que brindan la funcionalidad anunciada y el comportamiento malicioso se lleva a cabo en segundo plano.
Los investigadores de Threat Fabric, que descubrieron el nuevo conjunto de droppers, reportan un aumento en el uso de estos para la distribución de malware para Android precisamente porque pueden ofrecer una vía sigilosa para infectar dispositivos.
Esto es especialmente importante teniendo en cuenta las restricciones y protecciones cada vez mayores introducidas con cada versión importante de Android. Estas restricciones evitan que el malware abuse de los permisos, obtenga módulos maliciosos de recursos externos o utilice el servicio de accesibilidad para realizar acciones ilimitadas en el dispositivo.
La campaña para distribuir SharkBot
La primera campaña de droppers detectada por Threat Fabric a principios de octubre de 2022 distribuye el troyano bancario conocido como SharkBot .
SharkBot es un malware para Android que puede robar credenciales a través de avisos de inicio de sesión falsos superpuestos en formularios de inicio de sesión de sitios web legítimos. El malware logra su objetivo al realizar registros de teclas, robar y ocultar mensajes SMS y tomar el control remoto de un dispositivo móvil.
Los investigadores descubrieron dos aplicaciones instaladoras de aspecto inofensivo, ‘Codice Fiscale 2022’ y ‘File Manager Small, Lite’, que se utilizan para instalar SharkBot en los dispositivos móviles de las víctimas.
La primera aplicación, ‘Codice Fiscale 2022’, se disfraza como una herramienta para calcular los pagos de impuestos en Italia y se ha descargado 10,000 veces.
Cuando un usuario instala la aplicación instaladora maliciosa, eventualmente te pedirá que instales una actualización falsa, que instala el malware SharkBot en tu dispositivo.
Para instalar paquetes de Android adicionales desde un servidor remoto, Google requiere que las aplicaciones soliciten ‘REQUEST_INSTALL_PACKAGES
‘. Sin embargo, las versiones más nuevas de Android advierten sobre los peligros de este permiso, lo que dificulta convencer a los usuarios para que instalen la ‘actualización’.
En cambio, el instalador abre una página web que se parece a Google Play, engañando al usuario para que toque el botón “Actualizar” del navegador y, por lo tanto, evade la necesidad de este permiso.
La versión de SharkBot que instala apunta a los bancos italianos. El malware utiliza superposiciones de inicio de sesión falsas, interceptación de SMS para códigos 2FA, registro de teclas y un ladrón de cookies.
La aplicación instaladora File Manager ofrece un SharkBot de orientación más amplia. El troyano está configurado para cargar superposiciones para bancos en Italia, el Reino Unido, Alemania, España, Polonia, Austria, Australia y los Estados Unidos.
Campaña para distribuir Vultur
Otra campaña que usa aplicaciones instaladoras está distribuyendo el malware Vultur. Vultur es también un troyano bancario operado por un grupo de ciberdelincuentes conocido como el “Brunhilda Project”.
Vultur puede realizar fraudes en dispositivos al ofrecer a sus operadores transmisión remota de pantalla y registro de teclas para redes sociales y aplicaciones de mensajería.
La nueva variante distribuida en la última campaña también presenta un sistema nunca antes visto de registro de interfaz de usuario, registro de clics, gestos y todas las acciones realizadas por la víctima en el dispositivo.
Threat Fabric cree que los desarrolladores del malware agregaron esta función para eludir la restricción del indicador de seguridad en Android. Este evita que el contenido de ciertas ventanas de aplicaciones aparezca en capturas de pantalla o screencasts.
Los droppers que distribuye Vultur son los siguientes:
- ‘Recover Audio, Images & Videos’: 100,000 descargas
- ‘Autenticación Zetter’: 10,000 descargas
- ‘My Finances Tracker’: 1,000 descargas
Al igual que los droppers de SharkBot, estos droppers también muestran una solicitud para instalar una actualización falsa, esta vez disfrazada como un aviso de Google Play. Si el usuario permite que se instale la actualización, descarga e instala el malware Vultur.
Para evadir la detección cuando se envía a la Play Store, la lógica de instalación no está contenida en las aplicaciones instaladoras, sino que se carga dinámicamente mediante un archivo dex adicional enviado por los servidores de comando y control del atacante.
Además, los droppers utilizan el cifrado AES para ofuscar sus cadenas y ocultar todas las funciones de los escáneres automáticos.
Los droppers funcionan
El uso de droppers se ha convertido en un método confiable para que las instalaciones de malware pasen por alto los escáneres y los mecanismos de detección de fraude. Por lo tanto, se espera que su tasa de despliegue crezca aún más.
“La distribución a través de droppers en Google Play sigue siendo la forma más “asequible” y escalable de llegar a las víctimas para la mayoría de los ciberdelincuentes de diferente nivel”.
“Si bien las tácticas sofisticadas, como los ataques orientados al teléfono, requieren más recursos y son difíciles de escalar, los droppers en las tiendas oficiales y de terceros permiten que los atacantes lleguen a una amplia audiencia desprevenida con esfuerzos razonables”.
Threat Fabric.
La única desventaja de los droppers es la necesidad de involucrar a la víctima en al menos una acción manual. Esto porque debe aceptar manualmente la instalación de los payloads, que es su momento más vulnerable.
Sin embargo, es probable que el uso de sitios web e interfaces convincentes siga permitiendo la instalación de malware de esta manera.
Debido a esto, siempre es importante nunca permitir actualizaciones de fuentes remotas si es posible y analizar las URLs para confirmar que estás instalando aplicaciones desde la tienda oficial de Google Play en lugar de un sitio de terceros.