馃槑 60% Descuento:  Curso de Hacking Redes Inal谩mbricas >> Ver M谩s

Encuentran instaladores de malware en aplicaciones para Android con miles de descargas desde Google Play

Investigadores de seguridad encontraron un conjunto de instaladores (droppers) de malware de Android que se infiltraron en la tienda Google Play. Estos son utilizados para instalar troyanos bancarios que pretenden ser actualizaciones de aplicaciones.

Los droppers de malware son una categor铆a dif铆cil de aplicaciones para detener porque no contienen c贸digo malicioso en s铆 mismos. Y, por lo tanto, pueden pasar m谩s f谩cilmente las revisiones de Google Play cuando se env铆an a la tienda.

Al mismo tiempo, no levantan sospechas entre los usuarios, ya que brindan la funcionalidad anunciada y el comportamiento malicioso se lleva a cabo en segundo plano. 

Los investigadores de  Threat Fabric, que descubrieron el nuevo conjunto de droppers, reportan un aumento en el uso de estos para la distribuci贸n de malware para Android precisamente porque pueden ofrecer una v铆a sigilosa para infectar dispositivos.

Esto es especialmente importante teniendo en cuenta las restricciones y protecciones cada vez mayores introducidas con cada versi贸n importante de Android. Estas restricciones evitan que el malware abuse de los permisos,  obtenga m贸dulos maliciosos  de recursos externos o utilice el  servicio de accesibilidad  para realizar acciones ilimitadas en el dispositivo.

“Juego del gato y el rat贸n” entre ingenieros de Android y desarrolladores de malware

La campa帽a para distribuir SharkBot

La primera campa帽a de droppers detectada por Threat Fabric a principios de octubre de 2022 distribuye el troyano bancario conocido como  SharkBot .

SharkBot es un malware para Android que puede robar credenciales a trav茅s de avisos de inicio de sesi贸n falsos superpuestos en formularios de inicio de sesi贸n de sitios web leg铆timos. El malware logra su objetivo al realizar registros de teclas, robar y ocultar mensajes SMS y tomar el control remoto de un dispositivo m贸vil.

Los investigadores descubrieron dos aplicaciones instaladoras de aspecto inofensivo, ‘Codice Fiscale 2022’ y ‘File Manager Small, Lite’, que se utilizan para instalar SharkBot en los dispositivos m贸viles de las v铆ctimas.

La primera aplicaci贸n, ‘Codice Fiscale 2022’, se disfraza como una herramienta para calcular los pagos de impuestos en Italia y se ha descargado 10,000 veces.

La aplicaci贸n instaladora de malware en Google Play

Cuando un usuario instala la aplicaci贸n instaladora maliciosa, eventualmente te pedir谩 que instales una actualizaci贸n falsa, que instala el malware SharkBot en tu dispositivo.

Para instalar paquetes de Android adicionales desde un servidor remoto, Google requiere que las aplicaciones soliciten ‘REQUEST_INSTALL_PACKAGES‘. Sin embargo, las versiones m谩s nuevas de Android advierten sobre los peligros de este permiso, lo que dificulta convencer a los usuarios para que instalen la ‘actualizaci贸n’.

En cambio, el instalador abre una p谩gina web que se parece a Google Play, enga帽ando al usuario para que toque el bot贸n “Actualizar” del navegador y, por lo tanto, evade la necesidad de este permiso.

Actualizar p谩gina usando la apariencia de Google Play

La versi贸n de SharkBot que instala apunta a los bancos italianos. El malware utiliza superposiciones de inicio de sesi贸n falsas, interceptaci贸n de SMS para c贸digos 2FA, registro de teclas y un ladr贸n de cookies.

La aplicaci贸n instaladora File Manager ofrece un SharkBot de orientaci贸n m谩s amplia. El troyano est谩 configurado para cargar superposiciones para bancos en Italia, el Reino Unido, Alemania, Espa帽a, Polonia, Austria, Australia y los Estados Unidos.

Campa帽a para distribuir Vultur

Otra campa帽a que usa aplicaciones instaladoras est谩 distribuyendo el malware Vultur. Vultur es tambi茅n un troyano bancario operado por un grupo de ciberdelincuentes conocido como el “Brunhilda Project”.

Vultur puede realizar fraudes en dispositivos al ofrecer a sus operadores transmisi贸n remota de pantalla y registro de teclas para redes sociales y aplicaciones de mensajer铆a.

La nueva variante distribuida en la 煤ltima campa帽a tambi茅n presenta un sistema nunca antes visto de registro de interfaz de usuario, registro de clics, gestos y todas las acciones realizadas por la v铆ctima en el dispositivo.

Threat Fabric cree que los desarrolladores del malware agregaron esta funci贸n para eludir la restricci贸n del indicador de seguridad en Android. Este evita que el contenido de ciertas ventanas de aplicaciones aparezca en capturas de pantalla o screencasts.

Los droppers que distribuye Vultur son los siguientes:

  • ‘Recover Audio, Images & Videos’: 100,000 descargas
  • ‘Autenticaci贸n Zetter’: 10,000 descargas
  • ‘My Finances Tracker’: 1,000 descargas
Aplicaciones que instalan el malware Vultur

Al igual que los droppers de SharkBot, estos droppers tambi茅n muestran una solicitud para instalar una actualizaci贸n falsa, esta vez disfrazada como un aviso de Google Play. Si el usuario permite que se instale la actualizaci贸n, descarga e instala el malware Vultur.

Ventana de actualizaci贸n falsa disfrazada de aviso de Google Play

Para evadir la detecci贸n cuando se env铆a a la Play Store, la l贸gica de instalaci贸n no est谩 contenida en las aplicaciones instaladoras, sino que se carga din谩micamente mediante un archivo dex adicional enviado por los servidores de comando y control del atacante.

Adem谩s, los droppers utilizan el cifrado AES para ofuscar sus cadenas y ocultar todas las funciones de los esc谩neres autom谩ticos.

Los droppers funcionan

El uso de droppers se ha convertido en un m茅todo confiable para que las instalaciones de malware pasen por alto los esc谩neres y los mecanismos de detecci贸n de fraude. Por lo tanto, se espera que su tasa de despliegue crezca a煤n m谩s.

鈥淟a distribuci贸n a trav茅s de droppers en Google Play sigue siendo la forma m谩s 鈥渁sequible鈥 y escalable de llegar a las v铆ctimas para la mayor铆a de los ciberdelincuentes de diferente nivel鈥.

“Si bien las t谩cticas sofisticadas, como los ataques orientados al tel茅fono, requieren m谩s recursos y son dif铆ciles de escalar, los droppers en las tiendas oficiales y de terceros permiten que los atacantes lleguen a una amplia audiencia desprevenida con esfuerzos razonables”.

Threat Fabric.

La 煤nica desventaja de los droppers es la necesidad de involucrar a la v铆ctima en al menos una acci贸n manual. Esto porque debe aceptar manualmente la instalaci贸n de los payloads, que es su momento m谩s vulnerable.

Sin embargo, es probable que el uso de sitios web e interfaces convincentes siga permitiendo la instalaci贸n de malware de esta manera.

Debido a esto, siempre es importante nunca permitir actualizaciones de fuentes remotas si es posible y analizar las URLs para confirmar que est谩s instalando aplicaciones desde la tienda oficial de Google Play en lugar de un sitio de terceros.

Deja un comentario

Adquiere tu Membres铆a Anual Wiser

Adquiere tu Membres铆a Anual Wiser y adquiere grandes beneficios

M谩s informaci贸n