Encontradas varias aplicaciones en Google Play que instalaban malware en los dispositivos

El equipo de Trend Micro ha descubierto varias aplicaciones en Google Play utilizadas para descargar y ejecutar malware en los dispositivos de la víctima.

Las aplicaciones simulaban ser herramientas de limpieza y optimización de archivos, sin embargo accedían de forma remota a servidores maliciosos desde donde descargaban configuraciones y componentes adicionales que las convertían en aplicaciones potencialmente peligrosas para sus usuarios.

El análisis llevado a cabo por Trend Micro ha determinado hasta 3000 variantes distintas del malware bautizado como ‘AndroidOS_BoostClicker.HRX‘. Según los resultados obtenidos la campaña pudo estar activa desde 2017.

Los atacantes utilizaban los dispositivos infectados en diferentes esquemas de fraude publicitario, además, realizaban valoraciones positivas a otras de sus aplicaciones fraudulentas en Google Play para mejorar su reputación y conseguir más instalaciones.

Valoraciones positivas falsas. Fuente: TrendMicro

El grafo mostrado a continuación representa las relaciones entre las aplicaciones fraudulentas y los servidores de C&C a los que conectaban.

Relaciones con los servidores de C&C. Fuente: TrendMicro

Entre las funcionalidades de ‘AndroidOS_BoostClicker.HRX’ se encuentran:

  • Simular pulsaciones del usuario. Para hacer click en anuncios de campañas en redes publicitarias de AdMob o Facebook Audience Network entre otras.
  • La aplicación fraudulenta se instalaba en un entorno virtual para evitar ser detectada.
  • Intenta evadir las protecciones de Google Play Protect convenciendo al usuario para que lo desactive.
  • Utiliza las funciones de accesibilidad para publicar valoraciones positivas en otras aplicaciones fraudulentas en Google Play.
  • Utiliza las funciones de accesibilidad para iniciar sesión con la cuenta de Google o Facebook del usuario.

Las aplicaciones ya se encuentran eliminadas del repositorio de Google.

Algunas de las muestras se encuentran disponibles en Koodous para su análisis:

Más información:

Publicación de Tren Micro
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-apps-on-google-play-communicate-with-trojans-install-malware-perform-mobile-ad-fraud/

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.