Llegamos a ustedes gracias a:



Alertas de Seguridad

Los investigadores de ESET detectan un nuevo truco

Usado por malware para entrar en la tienda oficial de apps de Android

[25/05/2020] Los investigadores de ESET descubrieron una técnica extremadamente sigilosa, pero sorprendentemente simple, que permitió que el malware de Android permaneciera bajo el radar. Analizando la aplicación DEFENSOR ID que estaba -en ese momento- disponible en la tienda oficial de aplicaciones para Android, los investigadores de ESET descubrieron que la aplicación hacía un mal uso de los Servicios de Accesibilidad, pero no requería ningún otro permiso sospechoso ni tenía ninguna otra funcionalidad maliciosa.

"La característica de Servicios de Accesibilidad es conocida desde hace mucho tiempo como el talón de Aquiles del sistema operativo Android, y las soluciones de seguridad han sido ajustadas para detectar varias combinaciones de mal uso de este punto débil con otros indicadores de comportamiento malicioso", explica Lukáš Štefanko, investigador de malware de ESET que llevó a cabo el análisis en DEFENSOR ID.

"Ante un malware que no mostraba ninguna funcionalidad adicional ni permisos sospechosos además de los Servicios de Accesibilidad, todos los mecanismos de seguridad conocidos no activaron ninguna alarma. Como resultado, DEFENSOR ID llegó a la tienda de Google Play, permaneció allí durante unos meses y nunca fue detectado por ningún proveedor de seguridad que participara en el programa VirusTotal, señaló el investigador.

"Esta ha sido una valiosa lección para nosotros. Basándonos en lo que hemos aprendido sobre DEFENSOR ID, hemos ajustado nuestras tecnologías de detección para cubrir también el malware con una sección transversal de detección tan baja", añadió Stefanko.

Además de ser extremadamente sigiloso, Stefanko anotó que DEFENSOR ID es capaz de infligir graves daños a sus víctimas. Pertenece a la categoría de malware de troyanos bancarios y es excepcionalmente insidioso: una vez instalado, necesita que su víctima realice una sola acción para liberar todo su poder.

"Una vez que el usuario activa los Servicios de Accesibilidad, el DEFENSOR ID puede allanar el camino para que el atacante limpie la cuenta bancaria o la cartera encriptada de la víctima y se apodere de sus cuentas de correo electrónico o de medios sociales, entre otras acciones maliciosas", comentó Þtefanko.

Siguiendo el aviso de ESET, Google eliminó el DEFENSOR ID de la tienda oficial de aplicaciones para Android.

"Decidimos publicar los resultados de nuestra investigación sobre este malware para ayudar a los defensores a hacer frente al malware de Android de sección transversal ultra baja. Los creadores de este malware definitivamente van a tener que enfrentarse a protecciones reforzadas tanto en Google Play como en los dispositivos de los usuarios", concluyó Stefanko.