Bitdefender ha descubierto una campaña de malware oculta que ha estado al acecho sin ser detectada en dispositivos móviles de todo el mundo durante más de seis meses. El objetivo de la campaña es difundir el adware en los dispositivos Android para aumentar las ventas.
«Sin embargo, los actores de amenazas involucrados pueden cambiar fácilmente sus tácticas para redirigir a los usuarios a otros tipos de malware, como troyanos bancarios para robar credenciales e información financiera, o ransomware», dijo Bitdefender en un blog.
Hasta la fecha, la empresa de ciberseguridad ha detectado 60.000 aplicaciones de Android únicas infectadas con el adware y sospecha que existen muchas más. El malware ha estado activo desde al menos octubre de 2022. Se dirige a usuarios en EE. UU., Corea del Sur, Brasil, Alemania, Reino Unido y Francia.
«Debido a la gran cantidad de muestras únicas que se detectaron, lo más probable es que el proceso esté completamente automatizado», dijo Bitdefender.
Propagación de malware
El actor de amenazas utiliza aplicaciones de terceros para propagar el malware, ya que no está disponible en ninguna tienda oficial.
“Sin embargo, los operadores de malware todavía tienen que persuadir a los usuarios para que descarguen e instalen aplicaciones de terceros. Por lo tanto, disfrazan su amenaza con artículos muy codiciados que no se pueden encontrar en las tiendas oficiales, incluso si son legítimos”, dijo Bitdefender.
En ciertos casos, las aplicaciones simplemente imitaban las aplicaciones reales publicadas en Play Store. Los tipos de aplicaciones imitadas por el malware incluyen cracks de juegos, juegos con funciones desbloqueadas, VPN gratis, videos falsos, Netflix, tutoriales falsos, YouTube/TikTok sin publicidad, utilidades crackeadas: clima, visor de PDF, etc. y programas de seguridad falsos.
«La proliferación es orgánica, ya que el malware aparece cuando se buscan aplicaciones, mods, cracks, etc.», dijo Bitdefender, y agregó que las aplicaciones de mods son un bien codiciado y que los sitios web se dedican únicamente a ofrecer este tipo de paquetes.
Por lo general, las aplicaciones mod son aplicaciones originales modificadas que tienen todas las funciones desbloqueadas o que tienen cambios con respecto a la programación original. Cuando un usuario abre un sitio web a través de una búsqueda en Google de una aplicación mod, se lo lleva a una página de anuncios aleatoria. A veces, esta página es una página de descarga de malware disfrazada de descarga legítima para el mod que el usuario estaba buscando.
Evitar la detección durante seis meses.
Las aplicaciones que contienen el malware se comportan como aplicaciones normales de Android cuando se instalan y solicitan al usuario que haga clic en «Abrir» después de la instalación. La aplicación no se configura para ejecutarse automáticamente, ya que esto puede requerir permisos adicionales.
Google eliminó la capacidad de ocultar el ícono de la aplicación en Android una vez que se registra un lanzador. Sin embargo, esto solo se aplica si el lanzador está registrado. «Para evitar esto, la aplicación no registra ningún iniciador y depende del usuario y del comportamiento de instalación predeterminado de Android para ejecutarse por primera vez», dijo Bitdefender.
Una vez instalado, el malware muestra el mensaje «La aplicación no está disponible» para engañar al usuario haciéndole creer que el malware nunca se instaló.
«El hecho de que no tenga un ícono en el lanzador y un carácter UTF-8 en la etiqueta hace que sea más difícil de detectar y desinstalar. Siempre estará al final de la lista, lo que significa que es menos probable que el usuario lo encuentre», dijo Bitdefender en el blog.
Una vez iniciada, la aplicación se comunica con los servidores de los atacantes y obtiene las URL de publicidad, que se muestran en el navegador móvil o como un anuncio WebView a pantalla completa.
Los dispositivos Android son cada vez más el objetivo de malware
Los dispositivos Android se están convirtiendo cada vez más en un objetivo atractivo para los actores de amenazas. El mes pasado,
La empresa de ciberseguridad Doctor Web ha descubierto un módulo de software de Android con funcionalidad de spyware llamado SpinOk.
El malware recopila información sobre archivos almacenados en dispositivos y puede compartirla con actores malintencionados. También puede reemplazar el contenido del portapapeles y cargarlo en un servidor remoto. Las aplicaciones de Android que contienen el módulo SpinOk con capacidades de spyware se instalaron más de 421 000 000 veces.
A principios de esta semana, CloudSek descubrió otras 101 aplicaciones infectadas con el malware de Android SpinOK distribuido como un SDK publicitario. De estas, 43 aplicaciones siguen activas en Play Store, algunas con más de 5 millones de descargas. En total, aproximadamente 30 millones de usuarios se ven afectados por estas aplicaciones adicionales.
Derechos de autor © 2023 IDG Communications, Inc.