• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Nuevo malware distribuido a través de varias apps de Google Play

Nuevo malware distribuido a través de varias apps de Google Play

19 julio, 2022 Por Juan José Ruiz Deja un comentario

Se han descubierto ocho aplicaciones en Google Play que estaban propagando un nuevo malware denominado Autolycos.

Maxime Ingrao, un investigador de la firma de ciberseguridad Evina descubrió un malware de fraude telefónico o fleeceware, al que denominó Autolycos. Este tipo de malware se caracteriza por suscribir a los usuarios a servicios premium sin su conocimiento ni consentimiento y acceder a los mensajes SMS recibidos, de forma que el usuario no sea consciente de los cargos generados hasta que le llegue la siguiente factura telefónica.

Con el objetivo de difundir las aplicaciones móviles maliciosas, el investigador descubrió que los ciberdelincuentes habían creado campañas publicitarias. Se utilizaron páginas y anuncios en Facebook e Instagram, entre otras redes sociales. Por ejemplo, para una de las apps maliciosas (Razer Keyboard & Theme) se han descubierto 74 campañas publicitarias.

Anuncios para promover las aplicaciones maliciosas. Fuente: @IngraoMaxime

Tras un análisis detallado del nuevo malware, los investigadores de Malwarebytes han determinado que podría ser una nueva variante de Joker (Android/Trojan.Spy.Joker), un spyware descubierto en 2019 que también suscribía en secreto a personas a servicios premium y robaba mensajes SMS, entre otras actividades fraudulentas.

El comportamiento de Autolycos le permite eludir las detecciones de una manera más hábil que el Joker original. Joker utiliza vistas web para mostrar información (como una pantalla de bienvenida, el logotipo de la aplicación instalada, etc.) para despistar al usuario mientras se realizan los procesos maliciosos en segundo plano. Por su parte, Autolycos recupera un archivo JSON desde un servidor C2 y visita las URLs en un navegador remoto, devolviendo el resultado para incluirlo en las próximas solicitudes. De esta manera resulta menos perceptible y aumenta la complejidad de detectar que un dispositivo se encuentra comprometido.

Las ocho aplicaciones Android que distribuían Autolycos son las siguientes:

  • Vlog Star Video Editor (1 millón de descargas)
  • Creative 3D Launcher (1 millón de descargas)
  • Funny Camera de KellyTech (500.000 descargas)
  • Wow Beauty Camera (100.000 descargas)
  • Teclado Gif Emoji (100.000 descargas)
  • Razer Keyboard & Theme de rxcheldiolola (50.000 descargas)
  • Freeglow Camera 1.0.0 (5.000 descargas)
  • Coco Camera v1.1 (1.000 descargas)

Cabe destacar que entre todas las aplicaciones maliciosas que distribuían el nuevo malware, suman más de 3 millones de descargas.

En julio de 2021, Maxime Ingrao descubrió las aplicaciones maliciosas y las reportó a Google de manera privada. Sin embargo la compañía tardó seis meses en eliminar seis de estas aplicaciones de su market. Finalmente, Google eliminó las dos restantes el pasado 13 de julio, una vez que Ingrao hizo publicas sus investigaciones.

El investigador detalla que es necesario monitorizar tanto los datos de Internet que se consumen en segundo plano como el consumo de batería, tener activado Play Protect y minimizar la cantidad de apps instaladas para intentar evitar este tipo de amenazas.

Aunque de momento no se han proporcionado los hashes de las aplicaciones móviles, desde Hispasec se ha podido recopilar parte de esta información. Se recoge a continuación un listado de IOCs para Autolycos:

C2:

  • 68.183.219.190/pER/y

Nombres de paquetes de las aplicaciones:

  • com.vlog.star.video.editor
  • app.launcher.creative3d
  • com.wowbeauty.camera
  • com.okcamera.funny
  • com.gif.emoji.keyboard
  • com.glow.camera.open
  • com.toomore.cool.camera
  • com.razer.keyboard

Hashes (md5):

  • 5bd98bc6fed46d222c2e15257883da19
  • 1e6dc2a3f2a3495568c4adef36543ead
  • 7562e6451b670e19dd5f4d10893486e2
  • 539f27c675cc56cc736a985ba1dead5a
  • 2705aa58e3d2e47394bf051a5e2a5f95
  • db2c2c78788399c2c8045860c280563a
  • 87a7e792720c49f4e9cdd07720128150
  • d2464e1fb709b82a2e8f2be9f465d4cd
  • 764fedc891874b73296a0be3558bded2

Hashes (sha1):

  • ff8ff1d3dc2e7ff6c3fe865f669acc8702349891
  • 526325c7ef660bb909b6a5df25b468d3821d2d1d
  • 877108ac0df42744cabdd4ed52dab573de27d011
  • c3d84f818b845254f7221d31c52edf8511bf3598
  • e2d8bcb5d81353f1188d191cb7faefa42713388a
  • 6450a7cd5759a5355f375f83f162ae51a8d3c15b
  • 8e4b0e0317b2b82d3f75d9109606af7de9a25223
  • e38d90a28b34c7bc2723397a6b93147a74550b4f
  • 6abd7be5dc54d105a3fa60cc4d25c0f831a17496

Hashes (sha256):

  • 92bdee92d2ff1a3810479df63a886b7c4af3f4b16a0c1a4ee527ee1a1813650f
  • c88ecb32633cf8ebb2933b5b24d8b6f1cd8b55685c01de171240b5cba746b0a4
  • 9aa60d7d2a11aebe0681a9e7c35d622ebf28246fdbdf039e3b14980e32b96744
  • 95547426cd892cc50547d65aef7edb82212c68a44257318cb89fbfcfa04889bb
  • b50a126f1875d585b80687af18fec5839c24c6877476b33d6d92cc325dd82125
  • b05c5029879fc021e5ef88a46f1947805b06f08120acc6bfdd91a951e2f7d694
  • fb1744c8bafae2544bbe90eea70e4328dbc4a0a1b5d226877f741df01cac76ae
  • 8c64a5f8c482952c2cbc3587c978d73896b79e82452d87e9c6b54108e0908bd4
  • fc80f3c8d761c1e65e15b931f5bafbda4d393ababf0cba35664d82e0ca7a4a0f

Esta información puede ser contrastada con Koodous, el antivirus colaborativo para Android con el que se pueden verificar los hashes y realizar las búsquedas de las Apps para verificar su positivo en malware. Es una de las herramientas imprescindibles en la búsqueda y análisis de malware en Android.

Captura de uno de los paquetes infectados identificados en Koodous


Más información:
Maxime Ingrao
https://twitter.com/IngraoMaxime/status/1547164768401858560

New Android malware on Google Play installed 3 million times
https://www.bleepingcomputer.com/news/security/new-android-malware-on-google-play-installed-3-million-times/

Koodous
https://www.koodous.com

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Análisis Forense Digital

Hacking Windows

Una al día

Publicado en: General, Malware Etiquetado como: fleeceware, google play, malware

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Cisco afectada por ransomware Yanluowang
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ataque a Curve.Finance, robados casi 570.000 doláres
  • Cisco parchea vulnerabilidad alta en ASA y Firepower
  • Cisco afectada por ransomware Yanluowang
  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...