Juego de terror de Android roba credenciales y datos de Google y Facebook

Se acaba de descubrir que un juego de terror de Android con más de 50,000 instalaciones muestra un comportamiento malicioso, roba las credenciales de Google y Facebook de los jugadores y filtra sus datos después de iniciar sesión en sus cuentas.

El juego se llama Scary Granny ZOMBYE Mod: The Horror Game 2019  (Scary Granny) y está diseñado para aprovechar el éxito de otro juego de Android llamado Granny que actualmente cuenta con más de 100 millones de instalaciones.

Scary Granny es un juego completamente funcional que en realidad invita a los jugadores a jugar y evita cualquier sospecha; debido al aumento de las señales de alerta, se retiró el 27 de junio de Google Play Store – el enlace de del Caché de Google se encuentra AQUÍ – esto después de que los investigadores que descubrieron su suplantación de identidad y  las habilidades de robar datos, lo reportaron a Google.

Actividades ocultas

Para ocultar su verdadero lado de “horror”, el juego demoraba las señales de cualquier actividad maliciosa hasta dos días después de haber sido instalado, como descubrió el equipo de investigación de Wandera.

La aplicación activaba sus módulos de robo de datos solo si se utilizaba en versiones anteriores de Android, los usuarios de dispositivos más nuevos que ejecutan sistemas operativos actualizados que no se veían afectados.

Cuando se instala, el juego Scary Granny gana persistencia en los dispositivos al solicitar permisos para ejecutarse después del reinicio del teléfono inteligente o de la tablet.

Esto le permitía mostrar superposiciones de phishing a pantalla completa incluso después de que los usuarios de Android reiniciaran sus dispositivos, al mostrar primero “una notificación que indica al usuario que debe actualizar los servicios de seguridad de Google. Cuando el usuario pulsaba ‘actualizar’, se presentaba una página de inicio de sesión falsa de Google, lo que era muy convincente además del hecho de que ‘iniciar sesión’ se deletreaba incorrectamente”.

Robo de datos

Después de robar con éxito las credenciales de Google de la víctima, Scary Granny comenzaba a recopilar información de la cuenta, como correos electrónicos de recuperación y números de teléfono, códigos de verificación, fechas de nacimiento, cookies y tokens.

La inspección del tráfico de la red de la aplicación también permitió a los investigadores descubrir que el juego malicioso ingresaba a las cuentas de las víctimas, utilizando un navegador incorporado y comenzaba a recopilar cookies e identificadores de sesión que se enviarían al atacante de manera oculta.

Este comportamiento se activó después de que una versión inicial de la aplicación “tenía la capacidad de robar y filtrar los datos de las cuentas de Google y Facebook, pero no estaba realizando estas transacciones debido a la constante caída”, lo que demuestra que los ciberdelincuentes detrás de este juego de terror estaban actualizando continuamente sus características maliciosas.

Para obtener la información de Google y Facebook de sus víctimas, Scary Granny podría usar paquetes ofuscados diseñados para imitar los componentes de las aplicaciones oficiales de Android, por ejemplo, utilizando el paquete com.googles.android.gms que intentaba camuflarse como el paquete legítimo com.google.android.gms.

Superponer anuncios disfrazados de otras aplicaciones de Android

El malicioso juego de terror para Android Scary Granny también mostraría anuncios persistentes camuflados como anuncios de otras aplicaciones como Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, SnapChat, TikTok o Zalo.

“En nuestro análisis, pudimos ver que, al ver todas las aplicaciones abiertas en el dispositivo, este simulaba que había aplicaciones abiertas, incluyendo Facebook y Amazon, pero en realidad eran anuncios que la aplicación Scary Granny había abierto y disfrazado de aplicaciones legítimas”, revelaron los investigadores.

Wandera no pudo demostrar que los anuncios también se usaron para redirigir a las víctimas a enlaces de descarga, que les permitieran a los delincuentes distribuir otras aplicaciones maliciosas.

No obstante, “en un ejemplo, el anuncio dirige al usuario a una página que Google bloqueó, marcándola como engañosa, lo que sugiere que aloja malware o un ataque de phishing“.

Los anuncios se distribuirían a los dispositivos Android comprometidos después de conectarse a una red publicitaria utilizando el   paquete com.coread.adsdkandroid2019.

El juego malicioso también intentaba aumentar aún más las ganancias de sus “maestros”, al exigir a los usuarios de Android que pagaran el juego a través de una “página de pago de PayPal precargada por £18 ($22)”, concluye Wandera.