Investigadores de Symantec descubrieron tres aplicaciones maliciosas en Google Play que consiguen ingresos haciendo clic en los anuncios mientras se ejecuta en segundo plano.

Las tres aplicaciones utilizan tres técnicas separadas (ataques retrasados, trucos de uso de mismo nombre y una lista de ataque recibida desde un servidor de mando y control). Symantec detectó estas amenazas en Android. FakeApp. Han notificado a Google de estas aplicaciones y las han eliminado de Google Play.

Las tres aplicaciones maliciosas estaban disponibles en Google Play con los siguientes nombres:
sarabase com. clearmaster. SpeedBooster
desive com.. fastercharger. fastcharger (Fast cargo 2017)
com. cuartos fastercharger (cargador rápido X3 libre)
Google Play calcula entre 10.000 y 50.000 instalaciones de cada una de las aplicaciones de cargador rápido 2017 y cargador rápido X3 libre y entre 5.000 y 10.000 instalaciones de SpeedBooster en América del norte.

Estas aplicaciones específicas utilizan un nombre en la pantalla de inicio mientras se ocultan bajo un nombre diferente. Por ejemplo tenemos , que el título de la aplicación era 'Cargador rápido ' en la pantalla de inicio, mientras que el nombre del proceso según ' Configuración > Apps aparece como 'android'.

Figura 1. Ocultación bajo el nombre de 'Cargador rápido' en la pantalla de inicio y el nombre 'Android' en la pantalla de procesos

Estas aplicaciones consiguen sus órdenes de mando y control de servidores de internet. En este caso, el malware recibe una lista de aplicaciones que se podrían implementar, tiempos de demora y servidores para conectarse. La aplicación en cuestión se autentificará en esta lista y se comportan en consecuencia. Con esta información, las aplicaciones maliciosas pueden llevar a los atacantes a conseguir ingresos haciendo clic en los anuncios sin el conocimiento del usuario. Los atacantes pueden actualizar el malware que no haga el dinero deseado y probar nuevas configuraciones utilizando dispositivos con aplicaciones maliciosas en ellos.

Accionando un retraso en el comportamiento, el malware puede engañar a las víctimas que culpan a aplicaciones instaladas a posteriori del extraño comportamiento. Este mecanismo también frustra los intentos de programas antivirus mediante análisis dinámico debido a la demora que a menudo conduce al análisis dinámico a finalizar antes de que detecte la amenaza.

Convirtiéndose en un administrador de dispositivos estas aplicaciones pueden tomar el paso final de solicitar privilegios de administrador del dispositivo del usuario. Si el usuario puede ser engañado a que haga clic en 'Aceptar', la aplicación, ya ocultada del lanzador, se convierte todavía en mucho más difícil de localizar y desactivar.

Resultado de imagen para app maliciosas android

Por favor, comparta este artículo sus amigos y familiares para mantenerlos a salvo.

lunes, 26 de diciembre de 2016

Faketoken también cifra datos del movil

El malware móvil para Aplicaciones financieras también puede cifrar los datos

Según Kaspersky Lab, Faketoken un paquete de instalación en su forma modificada es capaz de capturar las credenciales de más de dos mil aplicaciones financieras de Android. A partir de los datos de telemetría, la empresa de seguridad calcula que en el tiempo que ha actuado Faketoken ha dejado mas 16.000 víctimas en usuarios en 27 países. Los de Ucrania, Rusia, Tailandia y Alemania fueron los más afectados. En julio, los investigadores detectaron variantes de malware por primera vez.

La nueva capacidad del extendido Faketoken de encriptar datos fue inesperado porque las cepas habituales ransomware móvil tienen como objetivo principal el bloqueo del dispositivo, y no de sus datos. Cuando Faketoken ataca a un androide, los datos de este último tanto archivos y documentos como videos e imágenes se cifran con la ayuda de AES algoritmo simétrico que a veces el usuario puede descifrar incluso carente de hacer cualquier pago de un rescate.

Faketoken en el inicio de su proceso de infección, obliga al usuario a proporcionar derechos de administrador, el consentimiento para sobrescribir con otras aplicaciones como alternativa para trabajar como aplicación por defecto de SMS suelen obligar a los usuarios a cumplirlo. Además de otras cosas, Faketoken con los derechos de administrador se vuelve capaz de robar datos tanto indirectamente a través de los sitios de phishing como directamente en archivos e información de contacto.

El troyano es capaz de sobreescribir la Google Play Store, que muestra un sitio de phishing al intentar engañar a las marcas de tal manera que divulga su información de tarjeta de pago. Una plantilla más de suplantación de identidad se hace pasar por la página de entrada de Gmail.

La versión modificada ha demostrado nuevos intentos de Faketoken en la sustitución de accesos directos a aplicaciones relacionadas con navegadores web, mensajería instantánea y sitios de medios sociales con diferentes variantes del original. Mientras que el propósito detrás de esto no está claro ya que los símbolos cambian cuando toman poder de las aplicaciones legales idénticas, una probabilidad es que los desarrolladores de código siniestros están creando las bases para futuros acontecimientos.

Los investigadores de seguridad de Kaspersky Lab han descubierto miles de suites de instalación de Faketoken que cifran los datos. Para mantenerse protegidos de Faketoken, Kaspersky insta a los propietarios de Android para mantener copias de seguridad de toda su información, no regalar los consentimientos y derechos, sin verificar la autenticidad de la solicitud, y la carga de software anti-malware, así como mantener el sistema operativo actualizado.