El equipo de Trend Micro ha descubierto varias aplicaciones en Google Play utilizadas para descargar y ejecutar malware en los dispositivos de la víctima.
Las aplicaciones simulaban ser herramientas de limpieza y optimización de archivos, sin embargo accedían de forma remota a servidores maliciosos desde donde descargaban configuraciones y componentes adicionales que las convertían en aplicaciones potencialmente peligrosas para sus usuarios.
El análisis llevado a cabo por Trend Micro ha determinado hasta 3000 variantes distintas del malware bautizado como ‘AndroidOS_BoostClicker.HRX‘. Según los resultados obtenidos la campaña pudo estar activa desde 2017.
Los atacantes utilizaban los dispositivos infectados en diferentes esquemas de fraude publicitario, además, realizaban valoraciones positivas a otras de sus aplicaciones fraudulentas en Google Play para mejorar su reputación y conseguir más instalaciones.
El grafo mostrado a continuación representa las relaciones entre las aplicaciones fraudulentas y los servidores de C&C a los que conectaban.
Entre las funcionalidades de ‘AndroidOS_BoostClicker.HRX’ se encuentran:
- Simular pulsaciones del usuario. Para hacer click en anuncios de campañas en redes publicitarias de AdMob o Facebook Audience Network entre otras.
- La aplicación fraudulenta se instalaba en un entorno virtual para evitar ser detectada.
- Intenta evadir las protecciones de Google Play Protect convenciendo al usuario para que lo desactive.
- Utiliza las funciones de accesibilidad para publicar valoraciones positivas en otras aplicaciones fraudulentas en Google Play.
- Utiliza las funciones de accesibilidad para iniciar sesión con la cuenta de Google o Facebook del usuario.
Las aplicaciones ya se encuentran eliminadas del repositorio de Google.
Algunas de las muestras se encuentran disponibles en Koodous para su análisis:
Más información:
Publicación de Tren Micro
https://blog.trendmicro.com/trendlabs-security-intelligence/malicious-apps-on-google-play-communicate-with-trojans-install-malware-perform-mobile-ad-fraud/
