Una Al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Encontradas varias aplicaciones en Google Play que instalaban malware en los dispositivos

Encontradas varias aplicaciones en Google Play que instalaban malware en los dispositivos

Por 2 comentarios

El equipo de Trend Micro ha descubierto varias aplicaciones en Google Play utilizadas para descargar y ejecutar malware en los dispositivos de la víctima.

Las aplicaciones simulaban ser herramientas de limpieza y optimización de archivos, sin embargo accedían de forma remota a servidores maliciosos desde donde descargaban configuraciones y componentes adicionales que las convertían en aplicaciones potencialmente peligrosas para sus usuarios.

El análisis llevado a cabo por Trend Micro ha determinado hasta 3000 variantes distintas del malware bautizado como ‘AndroidOS_BoostClicker.HRX‘. Según los resultados obtenidos la campaña pudo estar activa desde 2017.

Los atacantes utilizaban los dispositivos infectados en diferentes esquemas de fraude publicitario, además, realizaban valoraciones positivas a otras de sus aplicaciones fraudulentas en Google Play para mejorar su reputación y conseguir más instalaciones.

Valoraciones positivas falsas. Fuente: TrendMicro

El grafo mostrado a continuación representa las relaciones entre las aplicaciones fraudulentas y los servidores de C&C a los que conectaban.

Relaciones con los servidores de C&C. Fuente: TrendMicro

Entre las funcionalidades de ‘AndroidOS_BoostClicker.HRX’ se encuentran:

  • Simular pulsaciones del usuario. Para hacer click en anuncios de campañas en redes publicitarias de AdMob o Facebook Audience Network entre otras.
  • La aplicación fraudulenta se instalaba en un entorno virtual para evitar ser detectada.
  • Intenta evadir las protecciones de Google Play Protect convenciendo al usuario para que lo desactive.
  • Utiliza las funciones de accesibilidad para publicar valoraciones positivas en otras aplicaciones fraudulentas en Google Play.
  • Utiliza las funciones de accesibilidad para iniciar sesión con la cuenta de Google o Facebook del usuario.

Las aplicaciones ya se encuentran eliminadas del repositorio de Google.

Algunas de las muestras se encuentran disponibles en Koodous para su análisis:

Más información:

Publicación de Tren Micro
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-apps-on-google-play-communicate-with-trojans-install-malware-perform-mobile-ad-fraud/

Acerca de Francisco Salido

Francisco Salido Ha escrito 140 publicaciones.

Interacciones con los lectores

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.