Google Play Store: una amenaza persistente

Google Play Store

Google Play Store

Luego de muchos esfuerzos por parte de Google para evitar que Google Play Store se convirtiera en un repositorio de malware, las aplicaciones no autorizadas lograron engañar a sus protecciones antimalware e iniciar su servicio para infectar a los usuarios de Android con malware.

Recientemente, dos de esas aplicaciones de Android fueron detectadas en Google Play Store por investigadores del equipo de investigación de malware de Trend Micro, que infectaron a miles de usuarios de Android que ya los habían descargado con malware bancario incluido.

Camuflando la estafa

Las aplicaciones en cuestión se disfrazan como una aplicación de cambio de moneda llamada Convertidor de divisas y una de ahorro de batería llamada BatterySaverMobi, y utilizan entradas de sensores de movimiento de dispositivos Android infectados para monitorearlos antes de instalar un troyano bancario agresivo, conocido en la darkweb como Anubis.

Las aplicaciones maliciosas de Android, con un gran número de reseñas falsas de cinco estrellas, usan este truco inteligente en lugar de las técnicas tradicionales de evasión para evitar la detección cuando los investigadores ejecutan emuladores (que tienen menos probabilidades de usar sensores) para detectar tales aplicaciones maliciosas.

A medida que un usuario se mueve, su dispositivo generalmente genera cierta cantidad de datos de sensores de movimiento.

El desarrollador de malware está asumiendo que el arenero para escanear malware es un emulador sin sensores de movimiento, y como tal no creará ese tipo de datos.

Si ese es el caso, el desarrollador puede determinar si la aplicación se está ejecutando en un entorno de caja de arena simplemente revisando los datos del sensor.

Una vez descargada, la aplicación maliciosa utiliza el sensor de movimiento del dispositivo infectado para detectar si el usuario o el dispositivo se están moviendo. Si tanto el dispositivo como el usuario siguen en pie, el código malicioso no se ejecutará.

Tan pronto como detecta los datos del sensor, la aplicación ejecuta el código malicioso y luego trata de engañar a las víctimas para que descarguen e instalen el APK malicioso de carga útil de Anubis con una actualización de sistema falsa, haciéndose pasar por una “versión estable de Android”.

No solo detección de movimiento … hay más

Si el usuario aprueba la actualización falsa del sistema, el instalador de malware incorporado utiliza solicitudes y respuestas sobre servicios legítimos, incluidos Twitter y Telegram, para conectarse a su servidor de control y comando (C&C) requerido y descarga el troyano bancario Anubis en el dispositivo infectado.

“Una de las formas en que los desarrolladores de aplicaciones ocultan el servidor malintencionado es codificándolo en las solicitudes de las páginas web de Telegram y Twitter.

El dropper de malware del banco solicitará a Telegram o Twitter después de confiar en el dispositivo en ejecución”, explicaron los investigadores.

Luego, se registra en el servidor C&C y comprueba los comandos con una solicitud HTTP POST. Si el servidor responde a la aplicación con un comando APK y adjunta la URL de descarga, la carga útil de Anubis se eliminará en segundo plano.

Una vez comprometido, el troyano bancario Anubis obtiene las credenciales de la cuenta de los usuarios mediante el uso de un registrador de teclas integrado o la captura de pantallas de la pantalla de los usuarios cuando insertan credenciales en cualquier aplicación bancaria.

 

 

Fabian Clavel, opina sobre las apps de Google Play

Por Fabián Clavel – Analista Técnica