😎 60% Descuento:  Curso de Hacking Redes Inalámbricas >> Ver Más

Nuevo malware para Android fue  instalado 3 millones de veces desde Google Play

Google eliminó ocho aplicaciones de su tienda de aplicaciones Google Play que propagaban una nueva variante del spyware Joker. No obstante, estas aplicaciones obtuvieron más de 3 millones de descargas.

El investigador de seguridad francés Maxime Ingrao  de la firma de ciberseguridad Evina descubrió un malware al que denominó Autolycos. El malware puede suscribir a los usuarios a un servicio premium y acceder a los mensajes SMS de los usuarios. según una publicación que hizo en Twitter la semana pasada. 

Este tipo de malware, en el que las aplicaciones maliciosas suscriben a los usuarios a servicios premium sin su conocimiento o consentimiento para acumular cargos de pago, se denomina malware de fraude telefónico o, más comúnmente, fleeceware.

Ingrao dijo que descubrió ocho aplicaciones en el sitio que difunde Autolycos desde junio de 2021 que habían acumulado varios millones de descargas. Los ciberdelincuentes detrás de Autolycos usaron páginas de Facebook y publicaron anuncios en Facebook e Instagram para promocionar el malware. 

“Por ejemplo, hubo 74 campañas publicitarias para el malware Razer Keyboard & Theme”, tuiteó Ingrao en una de una serie de publicaciones de seguimiento que describen cómo funciona el malware.

Algunas de las recientes campañas publicitarias en Facebook

Joker ataca de nuevo

Ingrao comparó el malware con Joker, un spyware descubierto en 2019 que también suscribía en secreto a personas a servicios premium y robaba mensajes SMS, entre otras actividades nefastas.

De hecho, tras un examen más detallado, los investigadores de Malwarebytes creen que el malware es una nueva variante de Joker, a lo que Malwarebytes se refiere como “Android/Trojan.Spy.Joker“. Esto según las afirmaciones del investigador de inteligencia de Malwarebytes, Pieter Artnz, en una publicación realizada un día después de la revelación de Ingrao.

Joker fue la primera gran familia de malware que se especializó en fleeceware, según Malwarebytes. El troyano se escondía en los frameworks publicitarios utilizados por las aplicaciones maliciosas que lo propagan; estos frameworks agregan y publican anuncios en la aplicación.

Después de instalar las aplicaciones con Joker, mostraban una pantalla de bienvenida, que mostraba el logotipo de la aplicación, para despistar a las víctimas. Esto mientras realizan varios procesos maliciosos en segundo plano, como robar SMS y listas de contactos. Además, realizaba fraudes publicitarios. y registraba personas para suscripciones sin su conocimiento.

Diferencia en la ejecución

Sin embargo, Ingrao señaló una diferencia entre el Joker original y Autolycos.

“Recupera un JSON (Java Script Object Notation) en la dirección C2: 68.183.219.190/pER/y”, dijo Ingrao sobre Autolycos en un tweet . “Luego ejecuta las URLs, para algunos pasos ejecuta las URLs en un navegador remoto y devuelve el resultado para incluirlo en las solicitudes”.

Artnz de Malwarebytes también explicó esta diferencia en su publicación. Mientras que Joker usó webviews, o una parte del contenido web, como “una pequeña parte de la pantalla de la aplicación, una página completa o cualquier cosa intermedia”, para hacer su trabajo sucio, Autolycos evita esto mediante la ejecución de URLs en un navegador remoto y luego incluye el resultado en solicitudes HTTP. 

Esto ayuda a Autolycos a evadir la detección incluso más hábilmente que el Joker original. No requerir un WebView reduce en gran medida las posibilidades de que el usuario de un dispositivo afectado note que está pasando algo sospechoso.

Tiempo de retraso en el descubrimiento y la eliminación de aplicaciones

Las ocho aplicaciones en las que Ingrao descubrió Autolycos son:

  • Vlog Star Video Editor (com.vlog.star.video.editor) – 1 millón de descargas
  • Creative 3D Launcher (app.launcher.creative3d) – 1 millón de descargas
  • Wow Beauty Camera (com.wowbeauty.camera) – 100.000 descargas
  • Gif Emoji Keyboar (com.gif.emoji.keyboard) – 100.000 descargas
  • Freeglow Camera 1.0.0 (com.glow.camera.open) – 5000 descargas
  • Coco Camera v1.1 (com.toomore.cool.camera) – 1000 descargas
  • Funny Camera de KellyTech – 500.000 descargas
  • Razer Keyboard & Theme de rxcheldiolola: 50,000 descargas.

Si bien Ingrao descubrió las aplicaciones infractoras en julio de 2021 y las informó a Google rápidamente, él afirmó que la compañía tardó seis meses en eliminar seis de las aplicaciones. Además, Google finalmente eliminó las dos últimas el 13 de julio, según Malwarebytes.

Después de que había pasado tanto tiempo desde el informe inicial, el investigador divulgó sus hallazgos públicamente.

Artnz criticó el tiempo de retraso entre el descubrimiento y la eliminación, aunque no especuló sobre el motivo, y solo señaló que “el tamaño pequeño y el uso enmascarado de las APIs deben dificultar la búsqueda de aplicaciones maliciosas entre la multitud de aplicaciones que se encuentran en Google Play Store.”

“Es posible que [las aplicaciones maliciosas] todavía estuvieran disponibles si el investigador no se hubiera hecho público porque dijo que estaba cansado de esperar”.

Google no respondió de inmediato a la solicitud de comentarios el lunes. De hecho, la compañía tiene un historial de lucha para mantener las aplicaciones maliciosas, en particular el fleeceware, fuera de su tienda de aplicaciones móviles para la plataforma Android.

Para mantenerse a salvo de estas amenazas, los usuarios de Android deben actuar proactivamente.  Por ejemplo, monitorear los datos de Internet en segundo plano y el consumo de batería, mantener Play Protect activo y tratar de minimizar la cantidad de aplicaciones que instalan en sus teléfonos inteligentes.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información