[ad_1]
Las aplicaciones cuentagotas se disfrazaron de escáneres de códigos PDF y QR, así como aplicaciones de fitness.
(Imagen: Threat Fabric)
Las aplicaciones cuentagotas de troyanos han pasado desapercibidas en Google Play en los últimos meses, con más de 300 000 descargas e instalando sigilosamente malware que recopila los datos bancarios de las personas.
Como revela la firma de seguridad móvil ThreatFabric(Se abre en una nueva ventana)“en el lapso de solo cuatro meses, cuatro grandes familias de Android [Anatsa, Alien, Hydra, and Ermac] se propagaron a través de Google Play, lo que resultó en más de 300,000 infecciones a través de múltiples aplicaciones cuentagotas”.
Las aplicaciones cuentagotas se disfrazaron de utilidades simples, como escáneres de códigos PDF y QR, así como aplicaciones de fitness. Las aplicaciones de Android parecían legítimas, con muchas instalaciones y críticas positivas, y funcionaron según lo prometido, dando a los usuarios pocas razones para sospechar que algo andaba mal.
Parte del truco aquí es que las aplicaciones no parecen tener ningún código malicioso al principio. Pero, como encontró ThreatFabric, las aplicaciones “modificaron su comportamiento en versiones posteriores, agregaron la funcionalidad de eliminación y se requiere un conjunto más amplio de permisos”. En este punto, los usuarios pueden confiar en la aplicación y creer que la actualización es necesaria para seguir usándola. En el caso de una aplicación de fitness, la aplicación disfraza la descarga maliciosa como un paquete de ejercicios adicionales que el usuario podría instalar.
El señuelo en acción (Imagen: ThreatFabric)
Las aplicaciones evitan aún más la detección al ser selectivas sobre qué dispositivos y regiones atacarán y cuándo. Esto puede garantizar que la aplicación cuentagotas no intente instalar el malware mientras la aplicación se encuentra en su proceso de evaluación inicial para Google Play, y puede evitar la instalación en entornos de prueba y emuladores donde podría detectarse.
Una vez en el dispositivo, el malware puede hojear los datos bancarios a través del registro de pulsaciones de teclas, tomar capturas de pantalla y solicitar acceso al Servicio de Accesibilidad para que el malware “tenga control total sobre el dispositivo y pueda realizar acciones en nombre de la víctima”, explica TheatFabric.
Aunque estas tácticas sofisticadas dificultan la identificación de aplicaciones sospechosas, sigue siendo una buena regla general evitar las aplicaciones de marcas desconocidas y estar al tanto de los permisos que otorga a estas aplicaciones. Incluso el simple acceso al almacenamiento de archivos puede ser suficiente para causar algún daño.
En respuesta, Google apunta a una publicación de blog de abril(Se abre en una nueva ventana) que describe los pasos que ha tomado para proteger su tienda de aplicaciones, incluida una reducción continua en el acceso de los desarrolladores a permisos confidenciales, informa Ars Technica(Se abre en una nueva ventana). Las aplicaciones en cuestión(Se abre en una nueva ventana) han sido eliminados o están siendo revisados, dice ZDNet(Se abre en una nueva ventana).