Google sacó 60 aplicaciones infectadas con malware de su Play Store, instaladas por más de 3,3 millones de apostadores, que pueden usarse para todo tipo de actividades delictivas, incluido el robo de credenciales, el espionaje e incluso el robo de dinero de las víctimas.
ThreatLabZ de Zscaler y el investigador de seguridad Maxime Ingrao de la firma de protección contra fraudes Evina descubrieron las aplicaciones de descarga repletas de programas maliciosos como Joker, Facestealer, Coper y Autolycos; este último es una nueva familia, según Ingrao, quien nombró y descubrió Autolycos en ocho diferentes apps con más de tres millones de descargas a dispositivos Android.
La nueva cepa de malware, similar a Joker, roba mensajes SMS cuando se descargan y también suscribe a los usuarios sin saberlo, y les cobra por usar, servicios de protocolo de aplicaciones inalámbricas premium, twitteó Ingrao.
Este software espía está diseñado para robar mensajes SMS, listas de contactos e información del dispositivo, y para inscribir a la víctima en servicios WAP (protocolo de aplicaciones inalámbricas) premium.
“Recupera un JSON en la dirección C2: 68.183.219.190/pER/y”, explicó además. “Luego ejecuta las urls, por algunos pasos ejecuta las urls en un navegador remoto y devuelve el resultado para incluirlo en las solicitudes. Esto le permite no tener Webview y ser más discreto”.
Además, los estafadores crearon anuncios de Facebook e Instagram para promocionar las aplicaciones falsas, señaló Ingrao.
Las aplicaciones maliciosas incluyen:
Vlog Star Video Editor — 1 millón de descargas
Creative 3D Launcher — 1 millón de descargas
Cámara Wow Beauty — 100.000 descargas
Teclado Emoji Gif — 100.000 descargas
Cámara Freeglow — 5.000 descargas
Coco Camera v1.1 — 1,000 descargas
Cámara divertida — 500.000 descargas
Teclado y tema Razer: 50 000 descargas
Joker, Facestealer y Coper resurgen
Mientras tanto, los cazadores de amenazas de Zscaler dijeron esta semana que Google eliminó 52 aplicaciones adicionales infestadas de malware en Play Store, y 50 de ellas se usaron para implementar Joker, que ha sido un problema continuo para los dispositivos Android. También descubrieron el malware Facestealer y Coper en otras dos aplicaciones maliciosas, y esas también se arrancaron del mercado en línea.
Las aplicaciones de propagación de Joker se descargaron más de 300.000 veces, según los investigadores de seguridad Viral Gandhi e Himanshu Sharma, quienes proporcionaron un análisis técnico de las tres cargas útiles de la familia de malware y enumeraron los 50 descargadores de Joker en una publicación de blog ThreatLabZ.
“A pesar de la conciencia pública de este malware en particular, sigue llegando a la tienda de aplicaciones oficial de Google modificando regularmente las firmas de rastreo del malware, incluidas las actualizaciones del código, los métodos de ejecución y las técnicas de recuperación de la carga útil”, escribieron Gandhi y Sharma .
Una vez descargado, el malware Joker roba mensajes SMS, listas de contactos e información del dispositivo y, sin saberlo, registra a la víctima en servicios premium.
“Por lo general, los actores de amenazas disfrazan el malware Joker en aplicaciones de mensajería que requieren que los usuarios otorguen permisos de acceso escalado al permitirles servir como la aplicación de SMS predeterminada en el teléfono del usuario”, señalaron los cazadores de amenazas. “El malware utiliza estos permisos avanzados para llevar a cabo sus operaciones”.
Además, Zscaler descubrió Facestealer escondido en la aplicación cam.vanilla.snap ahora eliminada en Google Play Store, que tenía 5000 descargas. Este malware se dirige a los usuarios de Facebook a través de páginas de inicio de sesión de Facebook falsas para robar credenciales. Y finalmente, el equipo de seguridad también descubrió el troyano bancario Coper disfrazado como una aplicación Unicc QR Scanner.
“Una vez descargada, esta aplicación libera la infección de malware Coper que es capaz de interceptar y enviar mensajes de texto SMS, realizar solicitudes de USSD (Datos de servicio complementarios no estructurados) para enviar mensajes, registro de teclas, bloquear/desbloquear la pantalla del dispositivo, realizar ataques excesivos, evitar desinstalaciones y, en general, permitir que los atacantes tomen el control y ejecuten comandos en el dispositivo infectado a través de una conexión remota con un servidor C2”, escribieron Gandhi y Sharma. ®
