Lo último:
Seguridad

Encontradas varias aplicaciones en Google Play que instalaban malware en los dispositivos

Gustavo Genez

El equipo de Trend Micro ha descubierto varias aplicaciones en Google Play utilizadas para descargar y ejecutar malware en los dispositivos de la víctima.

Las aplicaciones simulaban ser herramientas de limpieza y optimización de archivos, sin embargo accedían de forma remota a servidores maliciosos desde donde descargaban configuraciones y componentes adicionales que las convertían en aplicaciones potencialmente peligrosas para sus usuarios.

El análisis llevado a cabo por Trend Micro ha determinado hasta 3000 variantes distintas del malware bautizado como ‘AndroidOS_BoostClicker.HRX‘. Según los resultados obtenidos la campaña pudo estar activa desde 2017.

Los atacantes utilizaban los dispositivos infectados en diferentes esquemas de fraude publicitario, además, realizaban valoraciones positivas a otras de sus aplicaciones fraudulentas en Google Play para mejorar su reputación y conseguir más instalaciones.

Valoraciones positivas falsas. Fuente: TrendMicro

El grafo mostrado a continuación representa las relaciones entre las aplicaciones fraudulentas y los servidores de C&C a los que conectaban.

Relaciones con los servidores de C&C. Fuente: TrendMicro

Entre las funcionalidades de ‘AndroidOS_BoostClicker.HRX’ se encuentran:

  • Simular pulsaciones del usuario. Para hacer click en anuncios de campañas en redes publicitarias de AdMob o Facebook Audience Network entre otras.
  • La aplicación fraudulenta se instalaba en un entorno virtual para evitar ser detectada.
  • Intenta evadir las protecciones de Google Play Protect convenciendo al usuario para que lo desactive.
  • Utiliza las funciones de accesibilidad para publicar valoraciones positivas en otras aplicaciones fraudulentas en Google Play.
  • Utiliza las funciones de accesibilidad para iniciar sesión con la cuenta de Google o Facebook del usuario.

Las aplicaciones ya se encuentran eliminadas del repositorio de Google.

Algunas de las muestras se encuentran disponibles en Koodous para su análisis:

Más información:

Publicación de Tren Micro
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-apps-on-google-play-communicate-with-trojans-install-malware-perform-mobile-ad-fraud/

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

La ciberseguridad como defensa en la guerra

Gustavo Genez

Ejecución Remota de Código en los servidores de Microsoft Office 365 sin resolver

Gustavo Genez

Vulnerabilidad 0-day en Chrome explotada activamente

Gustavo Genez