Investigadores de Symantec descubrieron tres aplicaciones maliciosas en Google Play que consiguen ingresos haciendo clic en los anuncios mientras se ejecuta en segundo plano.
Las tres aplicaciones utilizan tres técnicas separadas (ataques retrasados, trucos de uso de mismo nombre y una lista de ataque recibida desde un servidor de mando y control). Symantec detectó estas amenazas en Android. FakeApp. Han notificado a Google de estas aplicaciones y las han eliminado de Google Play.
Las tres aplicaciones maliciosas estaban disponibles en Google Play con los siguientes nombres:
sarabase com. clearmaster. SpeedBooster
desive com.. fastercharger. fastcharger (Fast cargo 2017)
com. cuartos fastercharger (cargador rápido X3 libre)
Google Play calcula entre 10.000 y 50.000 instalaciones de cada una de las aplicaciones de cargador rápido 2017 y cargador rápido X3 libre y entre 5.000 y 10.000 instalaciones de SpeedBooster en América del norte.
Estas aplicaciones específicas utilizan un nombre en la pantalla de inicio mientras se ocultan bajo un nombre diferente. Por ejemplo tenemos , que el título de la aplicación era 'Cargador rápido ' en la pantalla de inicio, mientras que el nombre del proceso según ' Configuración > Apps aparece como 'android'.
Figura 1. Ocultación bajo el nombre de 'Cargador rápido' en la pantalla de inicio y el nombre 'Android' en la pantalla de procesos
Estas aplicaciones consiguen sus órdenes de mando y control de servidores de internet. En este caso, el malware recibe una lista de aplicaciones que se podrían implementar, tiempos de demora y servidores para conectarse. La aplicación en cuestión se autentificará en esta lista y se comportan en consecuencia. Con esta información, las aplicaciones maliciosas pueden llevar a los atacantes a conseguir ingresos haciendo clic en los anuncios sin el conocimiento del usuario. Los atacantes pueden actualizar el malware que no haga el dinero deseado y probar nuevas configuraciones utilizando dispositivos con aplicaciones maliciosas en ellos.
Accionando un retraso en el comportamiento, el malware puede engañar a las víctimas que culpan a aplicaciones instaladas a posteriori del extraño comportamiento. Este mecanismo también frustra los intentos de programas antivirus mediante análisis dinámico debido a la demora que a menudo conduce al análisis dinámico a finalizar antes de que detecte la amenaza.
Convirtiéndose en un administrador de dispositivos estas aplicaciones pueden tomar el paso final de solicitar privilegios de administrador del dispositivo del usuario. Si el usuario puede ser engañado a que haga clic en 'Aceptar', la aplicación, ya ocultada del lanzador, se convierte todavía en mucho más difícil de localizar y desactivar.
Por favor, comparta este artículo sus amigos y familiares para mantenerlos a salvo.
No hay comentarios:
Publicar un comentario