La empresa Trend Micro ha revelado el mes anterior un informe según el cual se han eliminado 17 aplicaciones maliciosas tipo dropper de la Google Play Store, enmascaradas como versiones legítimas de aplicaciones varias de utilidad (lectores de códigos QR, limpiadores, editores de imágenes, etc.). Tales aplicaciones forman parte de una campaña maliciosa denominada «DawDropper», identificada a partir de finales de 2021.
Los droppers son programas que descargan y ejecutan en segundo plano malware sin conocimiento de sus usuarios. De esta forma se consigue evadir eficazmente los controles de seguridad de la Google Play Store.
En el caso de DawDropper, la aplicación aparentemente inocua se comunica con un servicio Firebase Realtime Database utilizado como punto de comando y control (C&C), el cual facilita al dropper de forma dinámica la URL de descarga del troyano. Estas URL son siempre repositorios de GitHub de cuatro troyanos diferentes: Octo (también conocido como Coper), Hydra, Ermac y TeaBot.
Concretamente, el troyano Octo, al ser lanzado y obtener privilegios elevados, es capaz de:
- Registrarse en un servicio periódico para recoger datos sensibles del usuario y enviarlos al servidor C&C.
- Emplear Virtual Network Computing para grabar la pantalla del usuario, incluyendo toda la información sensible que podría mostrarse en ella (direcciones de correo electrónico, contraseñas, pines, números de tarjeta de crédito, etc.)
- Apagar la pantalla y el sonido como forma de ocultar el comportamiento malicioso, cuando realmente el teléfono está activo.
- Desactivar Google Play Protect.
No es la única vez que actores maliciosos consiguen introducir troyanos bancarios en la Google Play Store este año, lo que demuestra la eficacia del uso de droppers para evadir los filtros de seguridad de las tiendas de aplicaciones. De hecho, algunos afirman que gracias a los droppers es posible ayudar a otros ciberdelincuentes a propagar su malware a través de Google Play Store, mediante un modelo de servicio «Dropper as a Service» (DaaS), debido a la gran demanda para distribuir malware por esta plataforma.
Fuentes:
- https://www.trendmicro.com/en_us/research/22/g/examining-new-dawdropper-banking-dropper-and-daas-on-the-dark-we.html
- https://thehackernews.com/2022/07/over-dozen-android-apps-on-google-play.html
