Se ha encontrado malware Facestealer, Joker y Coper en varias aplicaciones en el mercado virtual.
Google ha tomado medidas para eliminar docenas de aplicaciones maliciosas de la Play Store oficial que fueron detectadas propagando las familias de malware Facestealer, Joker y Coper a través del mercado virtual.
Los malos actores han encontrado repetidamente formas de escabullirse de las barreras de seguridad instaladas por Google con la esperanza de atraer a los usuarios desprevenidos para que descarguen las aplicaciones fraudulentas.
El lunes, los investigadores Viral Gandhi e Himanshu Sharma dijeron en un informe que “Joker es una de las familias de malware más destacadas que se dirigen a dispositivos Android”.
“A pesar de la conciencia pública de este malware en particular, sigue encontrando su camino hacia la tienda de aplicaciones oficial de Google modificando regularmente las firmas de seguimiento del malware, incluidas las actualizaciones del código, los métodos de ejecución y las técnicas de recuperación de carga útil”.
Joker (también conocido como Bread) está categorizado como fleeceware y está diseñado para suscribir a los usuarios a servicios pagos no deseados o realizar llamadas a números premium. El fleeceware también recopila datos del usuario, como listas de contactos. Se encontró por primera vez en Play Store en 2017.
Las dos empresas de ciberseguridad han identificado 53 aplicaciones de descarga de Joker. Se estima que las aplicaciones se han descargado más de 330.000 veces. Estas aplicaciones suelen hacerse pasar por editores de fotos, teclados emoji y aplicaciones de traducción. Prosperan pidiendo permisos elevados.
Los investigadores explicaron la nueva táctica adoptada por el malware persistente para eludir la detección: “En lugar de esperar a que las aplicaciones obtengan un volumen específico de instalaciones y revisiones antes de cambiar por una versión con malware, los desarrolladores de Joker han optado por ocultar la carga maliciosa en un archivo de activos común y una aplicación de paquete utilizando empaquetadores comerciales”.
El investigador de seguridad Maxime Ingrao reveló la semana pasada ocho aplicaciones que contenían una variante diferente del malware llamada Autolycos que acumuló un total de más de tres millones de descargas antes de su eliminación de la tienda de aplicaciones después de seis meses.
Pieter Arntz, investigador de Malwarebytes, dijo que “lo nuevo de este tipo es que ya no requiere un WebView… No requerir un WebView reduce en gran medida las posibilidades de que el usuario de un dispositivo afectado note que algo sospechoso está sucediendo. Autolycos evita WebView al ejecutar URL en un navegador remoto y luego incluye el resultado en solicitudes HTTP”.
Además, se han encontrado otras aplicaciones que incorporan malware Facestealer y Coper en el mercado oficial. Facestealer permite a los operadores desviar las credenciales de Facebook y los tokens de autenticación. Coper, un descendiente del malware Exobot, funciona como un troyano bancario que puede robar una amplia gama de datos de los usuarios. El malware malicioso se ha encontrado en las aplicaciones Vanilla Camera y Unicc QR Scanner.
Los investigadores dijeron que Coper es “capaz de interceptar y enviar mensajes de texto SMS, realizar solicitudes de USSD (Datos de servicio complementarios no estructurados) para enviar mensajes, registro de teclas, bloquear/desbloquear la pantalla del dispositivo, realizar ataques excesivos, evitar desinstalaciones y, en general, permitir que los atacantes tomen controlar y ejecutar comandos en el dispositivo infectado a través de una conexión remota con un servidor C2”.
Las tácticas en evolución utilizadas por los actores de amenazas para permanecer fuera del radar ayudan a llevarlos a la tienda de aplicaciones oficial.
Se ha advertido a los usuarios que se abstengan de otorgar permisos innecesarios a las aplicaciones y que verifiquen su legitimidad revisando las reseñas, la información del desarrollador y leyendo sus políticas de privacidad.
fuente:itsecurityguru .org
