sábado, 23 de junio de 2018

Aplicación fraudulenta en Google Play activa, 24 horas después de ser reportada

Investigadores de seguridad de la empresa RiskIQ descubrieron un malware “ad-clicker” en Google Play en el día de ayer que aún hoy no ha sido retirado.




El malware con más de 50.000 instalaciones combina su función legítima de optimizador de batería con funciones agresivas de adware. En el estudio publicado por la empresa RiskIQ se puede observar como ante los avisos de publicidad que nos muestra la aplicación pulsemos donde pulsemos nos redirige al mismo sitio.


El malware también roba información confidencial del usuario tales como: (hora, android_id, producto, modelo, marca, país y versión).


En una búsqueda en Koodous aparecen 4 variantes del mismo, correspondientes a 4 versiones distintas de la aplicación. Es especialmente llamativo como la última de ellas integra el permiso de android.permission.RECEIVE_SMS, que puede ser utilizado para la recepción de mensajes premiums.


Desde Koodous hemos creado una regla basada en los IOCs adjuntos al informe para detectar futuras variantes de la aplicación.


Este caso de malware en Google Play no es un caso aislado, llama la atención sobre todo como este tipo de adware parece tener más fácil sortear los controles de seguridad impuestos por el market de aplicaciones de Google; estaremos atentos a que sea finalmente retirado de Google Play.

4a43192a10d878211f3fb62e0d70d07aed2388b834884ca9887d118edabc71e6 Jun 22, 2018 9:35:48 AM
6d58c9512f8233bd3cd67535006f399bf44b752bb99b83f1714b4904ae495de9 May 22, 2018 8:41:15 PM
d44a6a8b9b697f4b2c782dfd3258eaeeae1d577d86507262dc808dd207cec2e6 Mar 26, 2018 1:05:47 PM

f83ee84e6e202bf1896535104c00a4cabae87b434c85c85aba0b626622f17332 Feb 20, 2018 2:24:25 AM

Actualización:
22 de Junio de 2018 22:13 - Ya se ha borrado la aplicación de Google Play.



Fernando Ramírez
@fdrg21
Más información:

Scammy App That Infects Phones for Ad-clicking and Info-Stealing Controls Over 60,000 Devices:
https://www.riskiq.com/blog/interesting-crawls/battery-saving-mobile-scam-app

Google Play Advanced Battery Saver:
https://play.google.com/store/apps/details?id=com.advancedbatr.batsaver