[07/06/2023] Bitdefender ha descubierto una campaña oculta de malware que lleva más de seis meses sin ser detectada en dispositivos móviles de todo el mundo. La campaña está diseñada para introducir adware en dispositivos Android con el fin de generar ingresos.
"Sin embargo, los actores de la amenaza pueden cambiar fácilmente de táctica para redirigir a los usuarios a otros tipos de malware, como troyanos bancarios para robar credenciales e información financiera o ransomware", señaló Bitdefender en un blog.
Hasta la fecha, la empresa de ciberseguridad ha descubierto 60 mil aplicaciones de Android infectadas con el adware y sospecha que hay muchas más. El malware lleva activo al menos desde octubre del 2022. Está dirigido a usuarios de Estados Unidos, Corea del Sur, Brasil, Alemania, Reino Unido y Francia.
"Debido al gran número de muestras únicas descubiertas, lo más probable es que la operación esté totalmente automatizada", anotó Bitdefender.
Distribución del malware
El actor de la amenaza utiliza aplicaciones de terceros para distribuir el malware, ya que no está en ninguna tienda oficial.
"Los operadores del malware, sin embargo, todavía necesitan persuadir a los usuarios para que descarguen e instalen aplicaciones de terceros, por lo que han camuflado su amenaza en artículos muy buscados que no se pueden encontrar en las tiendas oficiales, incluso si fueran legítimos", señaló Bitdefender.
En algunos casos, las apps simplemente imitaban a las reales publicadas en la Play Store. Algunos de los tipos de apps imitadas por el malware incluyen cracks de juegos, juegos con funciones desbloqueadas, VPN gratuitas, videos falsos, Netflix, tutoriales falsos, YouTube/TikTok sin anuncios, programas de utilidades crackeados: el tiempo, visores de pdf, etc, y programas de seguridad falsos.
"La distribución es orgánica, ya que el malware aparece al buscar este tipo de apps, mods, cracks, etc.", señaló Bitdefender, que añade que las mod apps son un producto muy demandado, con páginas web dedicadas íntegramente a ofrecer este tipo de paquetes.
Normalmente, las mod apps son aplicaciones originales modificadas con toda su funcionalidad desbloqueada o con cambios en la programación inicial. Cuando un usuario abre un sitio web a partir de una búsqueda en Google de una mod app, se le redirige a una página de anuncios aleatoria. A veces, esa página es una página de descarga de malware disfrazada de descarga legítima del mod que el usuario estaba buscando.
Evadir la detección durante seis meses
Las aplicaciones con el malware actúan como aplicaciones normales de Android para su instalación y piden al usuario que haga clic en "Abrir", una vez instaladas. La aplicación no se configura para ejecutarse automáticamente, ya que eso puede requerir privilegios adicionales.
Google eliminó la posibilidad de ocultar el ícono de la aplicación en Android una vez que se registra un lanzador. Sin embargo, esto sólo se aplica si el lanzador está registrado. "Para eludir esto, la aplicación no registra ningún lanzador y confía en el usuario, y en el comportamiento de instalación por defecto de Android, para ejecutarse por primera vez", dijo Bitdefender.
Una vez instalado, el malware muestra un mensaje que dice "la aplicación no está disponible" para engañar al usuario y hacerle creer que nunca se instaló.
"El hecho de que no tenga ícono en el lanzador y un carácter UTF-8 en la etiqueta hace que sea más difícil de detectar y desinstalar. Siempre estará al final de la lista, lo que significa que es menos probable que el usuario lo encuentre", anotó Bitdefender en el blog.
Una vez iniciada, la aplicación se comunicará con los servidores de los atacantes y recuperará las URL de los anuncios para mostrarlos en el navegador del móvil o como un anuncio WebView a pantalla completa.
El malware se dirige cada vez más a los dispositivos Android
Los dispositivos Android se están convirtiendo en un objetivo cada vez más atractivo para las amenazas. El mes pasado la empresa de ciberseguridad Doctor Web descubrió un módulo de software para Android con funciones de spyware llamado SpinOk.
El malware recopila información sobre los archivos almacenados en los dispositivos y puede transferirla a agentes maliciosos. También puede sustituir y subir el contenido del portapapeles a un servidor remoto. Las aplicaciones para Android que contenían el módulo SpinOk con funciones de spyware se instalaron más de 421.000.000 de veces.
A principios de esta semana, CloudSek descubrió otras 101 aplicaciones comprometidas con el malware SpinOK para Android distribuido como SDK publicitario. De ellas, 43 siguen activas en Play Store, algunas con más de 5 millones de descargas. En total, se estima que 30 millones de usuarios se han visto afectados por estas aplicaciones adicionales.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú