La última técnica de los troyanos bancarios para colarse en Google Play: actualizarse desde un APK

La última técnica de los troyanos bancarios para colarse en Google Play: actualizarse desde un APK
Sin comentarios Facebook Twitter Flipboard E-mail

Hemos visto en el pasado cómo el malware logra infiltrarse en Google Play en menor o mayor medida, tanto con Joker como otras apps destinadas a robar credenciales bancarias. Los investigadores de seguridad de Threat Fabric han revelado las técnicas empleadas por aplicaciones con malware para infiltrarse en Google Play.

Con unas 300.000 descargas combinadas, los analistas han encontrado una campaña de malware de tres familias distintas, enfocada a robar credenciales de bancos concretos, incluídos varios bancos españoles. El método principal es uno que pudimos comprobar nosotros mismos hace poco: descargar una actualización después de instalar la app, donde se encuentra el código malicioso.

Todo bien en la superficie

Los intentos de Google por poner freno al malware se centran en dos frentes: el análisis automátizado de aplicaciones y la limitación de algunos permisos problemáticos, como el de accesibilidad. Los ciberdelincuentes han encontrado una forma ideal de superar ambos: subir aplicaciones de aspecto inofensivo a Google Play.

El engaño es tal que las aplicaciones son más que una fachada. Son apps funcionales e incluyen información, capturas de pantalla y reseñas que hacen creer que se trata de una aplicación de fiar. Si bien muchas de estas reseñas posiblemente sean falsas, la actualización con el malware no se descarga automáticamente, de modo que algunas pueden ser reales. Al fin y al cabo, las aplicaciones ofrecen lo que prometen. En algún caso, hasta cuentan con una página web con información, para darle más veracidad.

Gimbase
Una app de ejercicios con malware contaba hasta con una web falsa

En este punto, la aplicación está "limpia" y un análisis en VirusTotal de su APK no detectaría nada raro en ello. Tampoco los análisis realizados por Google durante el periodo de revisión o por Play Protect tras la instalación en el dispositivo serían capaces de encontrar nada sospechoso.

Las apps son funcionales y están limpias en principio, pero más tarde piden descargar e instalar una actualización que contiene el código malicioso

El malware llegará más tarde y de forma selectiva, pudiendo sus creadores desplegar la actualización maliciosa a determinados usuarios y/o en determinadas regiones. La instalación requiere que el usuario otorgue permiso a la aplicación para instalar aplicaciones desde un archivo APK, algo que se indica como necesario con distintas excusas. Por ejemplo, en una aplicación de ejercicios se indica que es necesario para descargar nuevas rutinas.

Workout
¿Quieres una nueva rutina de ejercicios? Entonces instala esta actualización

Variaciones de esta técnica ha sido detectada por los analistas de seguridad en decenas de aplicaciones con tres familias de malware: Anatsa, Alien y Hydra/Ermac. El objetivo de todas ellas era el mismo: intentar robar las credenciales bancarias. No a lo bruto, sino de aplicaciones bancarias concretas, incluyendo varias entidades españolas. En el apéndice del informe se encuentra la lista de aplicaciones bancarias cuyas credenciales se intentaban robar: hay varias apps de bancos españoles.

El malware está diseñado para robar las credenciales de aplicaciones bancarias específicas, incluyendo las de varios bancos españoles

Esta actualización sí cuenta ya con las herramientas de espía, encabezadas por el abuso de los permisos de accesibilidad, que pedirán incesantemente después de instalar. Google controla las aplicaciones que abusan de estos permisos en Google Play, pero lo que se instala desde fuera de la tienda no tiene ningún control.

Según las estimaciones de los investigadores, las aplicaciones se descargaron en torno a 300.000 descargas, aunque con una detección tan difícil, es previsible que haya más y más infiltraciones en Google Play. La mejor forma de mantenerte a salvo es nunca aceptar descargas y actualizaciones sospechosas que requieren permiso para instalar aplicaciones.

Vía | Ars Technica

Comentarios cerrados
Inicio