Las aplicaciones de Google Play descargadas 300.000 veces robaron credenciales bancarias

Las aplicaciones de Google Play descargadas 300.000 veces robaron credenciales bancarias

Los investigadores dijeron que descubrieron un lote de aplicaciones descargadas de Google Play más de 300.000 veces antes de que se revelara que las aplicaciones eran troyanos bancarios que subrepticiamente extraían contraseñas de usuario y códigos de autenticación de dos factores, registraban pulsaciones de teclas y tomaban capturas de pantalla.

Las aplicaciones, que se hacían pasar por escáneres QR, escáneres de PDF y carteras de criptomonedas, pertenecían a cuatro familias de malware de Android distintas que se distribuyeron durante un período de cuatro meses. Utilizaron varios trucos para eludir las restricciones que Google ha ideado en un intento de frenar la distribución interminable de aplicaciones fraudulentas en su mercado oficial. Esas limitaciones incluyen restringir el uso de los servicios de accesibilidad para los usuarios con discapacidad visual para evitar la instalación automática de aplicaciones sin el consentimiento del usuario.

Pequeña huella de pie

“Lo que hace que estas campañas de distribución de Google Play sean muy difíciles de detectar desde una perspectiva de automatización (sandbox) y aprendizaje automático es que todas las aplicaciones de cuentagotas tienen una huella maliciosa muy pequeña”, escribieron investigadores de la empresa de seguridad móvil ThreatFabric en un correo. “Esta pequeña huella es una consecuencia (directa) de las restricciones de permisos impuestas por Google Play”.

En cambio, las campañas generalmente entregaron una aplicación benigna inicialmente. Después de que se instaló, los usuarios recibieron mensajes que les indicaban que descargaran actualizaciones que instalaban funciones adicionales. Las aplicaciones a menudo requerían que las actualizaciones se descargaran de fuentes de terceros, pero para entonces muchos usuarios habían llegado a confiar en ellas. La mayoría de las aplicaciones inicialmente tenían cero detecciones por parte de los verificadores de malware disponibles en VirusTotal.

ThreatFabric

Las aplicaciones también pasaron desapercibidas mediante el uso de otros mecanismos. Para hacer esto, los operadores de malware en muchos casos instalaron manualmente actualizaciones maliciosas solo después de verificar la ubicación geográfica del teléfono infectado o actualizando los teléfonos de forma incremental.

“Esta increíble atención dedicada a evadir la atención no deseada hace que la detección automatizada de malware sea menos confiable”, explica la publicación de ThreatFabric. “Esta consideración se ve confirmada por la puntuación total de VirusTotal muy baja de los 9 goteros que hemos investigado en esta entrada de blog”.

La familia de malware responsable del mayor número de infecciones se conoce como Anatsa. Este “troyano bancario Android bastante avanzado” ofrece una variedad de capacidades, incluido el acceso remoto y sistemas de transferencia automática, que vacía automáticamente las cuentas de las víctimas y las envía a las que pertenecen a los operadores de malware.

Los investigadores escribieron:

El proceso de infección con Anatsa se ve así: al inicio de la instalación desde Google Play, el usuario se ve obligado a actualizar la aplicación para continuar usándola. En este momento, la carga útil de Anatsa se descarga de los servidores C2 y se instala en el dispositivo de la víctima desprevenida.

Los actores detrás de esto se encargaron de hacer que sus aplicaciones parecieran legítimas y útiles. Hay una gran cantidad de críticas positivas para las aplicaciones. La cantidad de instalaciones y la presencia de reseñas pueden convencer a los usuarios de Android de que instalen la aplicación. Además, estas aplicaciones poseen la funcionalidad reclamada, después de la instalación, operan normalmente y convencen aún más a la víctima de su legitimidad.

A pesar de la abrumadora cantidad de instalaciones, no todos los dispositivos que tienen estos goteros instalados recibirán Anatsa, ya que los actores hicieron esfuerzos para apuntar solo a las regiones de su interés.

ThreatFabric

Otras tres familias de malware encontradas por los investigadores fueron Alien, Hydra y Ermac. Uno de los goteros utilizados para descargar e instalar cargas útiles maliciosas se conocía como Gymdrop. Usó reglas de filtrado basadas en el modelo del dispositivo infectado para evitar la orientación de los dispositivos del investigador.

Nuevos ejercicios de entrenamiento

“Si se cumplen todas las condiciones, la carga útil se descargará e instalará”, indicó la publicación. “Este cuentagotas tampoco solicita privilegios de servicio de accesibilidad, solo solicita permiso para instalar paquetes, aderezado con la promesa de instalar nuevos ejercicios de entrenamiento, para atraer al usuario a otorgar este permiso. Cuando se instala, se inicia la carga útil. Nuestra inteligencia sobre amenazas muestra que, en este momento, este cuentagotas se utiliza para distribuir el troyano bancario Alien “.

Los investigadores enumeraron 12 aplicaciones de Android que participaron en el fraude. Las aplicaciones son:

Nombre de la aplicación Nombre del paquete SHA-256
Autenticador de dos factores com.flowdivison a3bd136f14cc38d6647020b2632bc35f21fc643c0d3741caaf92f48df0fc6997
Guardia de protección com.protectionguard.app d3dc4e22611ed20d700b6dd292ffddbc595c42453f18879f2ae4693a4d4d925a
QR CreatorScanner com.ready.qrscanner.mix ed537f8686824595cb3ae45f0e659437b3ae96c0a04203482d80a3e51dd915ab
Escáner maestro en vivo com.multifuction.combine.qr 7aa60296b771bdf6f2b52ad62ffd2176dc66cb38b4e6d2b658496a6754650ad4
Escáner QR 2021 com.qr.code.generate 2db34aa26b1ca5b3619a0cf26d166ae9e85a98babf1bc41f784389ccc6f54afb
Escáner QR com.qr.barqr.scangen d4e9a95719e4b4748dba1338fdc5e4c7622b029bbcd9aac8a1caec30b5508db4
Escáner de documentos PDF – Escanear a PDF com.xaviermuches.docscannerpro2 2080061fe7f219fa0ed6e4c765a12a5bc2075d18482fa8cf27f7a090deca54c5
Escáner de documentos PDF com.docscanverifier.mobile 974eb933d687a9dd3539b97821a6a777a8e5b4d65e1f32092d5ae30991d4b544
Escáner de documentos PDF gratis com.doscanner.mobile 16c3123574523a3f1fb24bbe6748e957afff21bef0e05cdb3b3e601a753b8f9d
CryptoTracker cryptolistapp.app.com.cryptotracker 1aafe8407e52dc4a27ea800577d0eae3d389cb61af54e0d69b89639115d5273c
Entrenador de gimnasio y fitness com.gym.trainer.games 30ee6f4ea71958c2b8d3c98a73408979f8179159acccc01b6fd53ccb20579b6b
Entrenador de gimnasio y fitness com.gym.trainer.games b3c408eafe73cad0bb989135169a8314aae656357501683678eff9be9bcc618f

ThreatFabric

Cuando se le pidió un comentario, un portavoz de Google señaló esta publicación de abril detallando los métodos de la compañía para detectar aplicaciones maliciosas enviadas a Play.

Durante la última década, las aplicaciones maliciosas han plagado a Google Play de forma regular. Como fue el caso esta vez, Google se apresura a eliminar las aplicaciones fraudulentas una vez que se les notifica, pero la compañía ha sido crónicamente incapaz de encontrar miles de aplicaciones que se han infiltrado en el bazar e infectado a miles o incluso millones de usuarios.

No siempre es fácil detectar estas estafas. Leer los comentarios de los usuarios puede ayudar, pero no siempre, ya que los delincuentes a menudo sembran sus envíos con reseñas falsas. Mantenerse alejado de aplicaciones oscuras con bases de usuarios pequeñas también puede ayudar, pero también habría sido ineficaz en este caso. Los usuarios también deben hacer una gran pausa antes de descargar aplicaciones o actualizaciones de aplicaciones de mercados de terceros.

El mejor consejo para mantenerse a salvo de las aplicaciones maliciosas de Android es ser extremadamente parco al instalarlas. Y en caso de que no haya usado una aplicación por un tiempo, desinstalarla es una buena idea.

Leave a Reply

Your email address will not be published.