Cuatro campañas de malware independiente, dirigida a los usuarios de Android, se han descubierto en el Google Play Store en los últimos días. El malware, descubierto por empresas de seguridad, McAfee, Malwarebytes, Dr.Web y ESET, fueron disfrazados como legítimas aplicaciones de Google Play y consiguió millones de descargas. Esto no es la primera vez que se ha encontrado malware en Google Play, pero cuatro campañas de malware independiente en unos pocos días es bastante alarmante.
Grabos malware encontrado en 144 aplicaciones de Google Play
Como los datos de McAfee en un report, Grabos malware se descubrió en 144 aplicaciones en Google Play Store. Equipo móvil de la compañía descubrió por primera vez el programa malicioso en el reproductor de música Aristotle 2017, una aplicación de reproductor de audio gratis. Desde entonces, 144 apps en Google Play se ha encontrado para contener el malware Grabos.
McAfee señala que Aristóteles tuvieron un buen rating y millones de descargas, que es suficiente para muchos usuarios a confiar en una aplicación. Además, el 34 aplicaciones que el equipo de investigación pudo investigar también tenían buenas calificaciones, en promedio 4,4 y un montón de descargas. Más concretamente, entre 4.2 y 17,4 millones.
Según McAfee, la razón las aplicaciones pudieron eludir Google Play las medidas de seguridad es ya código de malware está protegida con un obfuscator comercial, que deliberadamente hace difícil examinar una aplicación sin necesidad de abrir primero.
El malware pretende engañar a los usuarios a descargar e instalar apps por que muestran falsas notificaciones. Por lo que es seguro decir que está tratando de obtener un beneficio mediante la promoción de instalaciones de aplicación.
AsiaHitGroup malware hace que sea difícil identificar
El investigador de seguridad de Malwarebytes recientemente discovered que el malware ha sido haciéndose pasar por legítimas aplicaciones en Google Play. El malware, llamado AsiaHitGroup, fue descubierto en una aplicación de escáner QR con el nombre “Generador de códigos Qr-scanner Qr” pero también más adelante fue encontrado en una aplicación de reloj despertador, una compás de la aplicación, una aplicación de editor de foto, una aplicación de prueba de velocidad de Internet y una aplicación de explorador de archivos.
Cuando los usuarios descargan la aplicación, que funciona igual que la primera vez. Sin embargo, después de que el usuario existe, desaparece. Los usuarios no podrán encontrarlo en cualquier lugar por su nombre, lo que es difícil deshacerse de. Las notas del investigador que la aplicación entonces se disfraza como Download Manager. Si los usuarios no están familiarizados con qué aplicaciones se han instalado, es básicamente imposible encontrar el malware manualmente.
El malware Compruebe su localización lo primero que a la entrada. Si usted se encuentra en Asia, por lo tanto el nombre AsiaHitGroup, descarga un troyano SMS, que suscribiría a números de teléfono premium por SMS.
Troyano encontrado en 9 aplicaciones descargas entre 2,37 y 11,7 millones
Software empresa Dr.Web discovered un troyano en 9 aplicaciones en Google Play. La amenaza, llamada Android.RemoteCode.106.origin troyano por la empresa, abrir páginas web sin el conocimiento del usuario y ayudan a hacer ingresos para los dueños de esos sitios. Informe de Dr.Web también señala que el troyano podría ser utilizado para realizar ataques de phishing y robar información confidencial.
Las 9 aplicaciones que fueron descubiertos que contiene el código malicioso variaron entre juegos y aplicaciones de copia de seguridad. Según Dr.Web, el troyano fue encontrado en las siguientes aplicaciones:
- Panadería dulce partido 3 – intercambio y conecte 3 tortas 3.0;
- Curiosidades de la Biblia, versión 1.8;
- Curiosidades de la Biblia – libre, versión 2.4;
- Limpiador rápido luz, versión 1.0;
- Ganar dinero 1.9;
- Juego de banda: Piano, versión de la guitarra, tambor, 1,47;
- Dibujos animados de Racoon Match 3 – robo joya Puzzle 2017, versión 1.0.2;
- Fácil Backup & Restore, versión 4.9.15;
- Aprender a cantar, versión 1.2.
Una vez que el usuario descarga la aplicación, Android.RemoteCode.106.origin se compruebe si el dispositivo cumple los requisitos. Si el dispositivo infectado no tiene un número determinado de fotos, contactos o llamadas telefónicas, el troyano no hará nada. Si, sin embargo, las condiciones se cumplen, el troyano descargar una lista de módulos, módulos adicionales que para inflar las estadísticas de tráfico web y seguir enlaces de publicidad de lanzamiento.
Desde Dr.Web publicó el informe, el código malicioso ha eliminado algunas de las aplicaciones, mientras que otros siguen siendo maliciosos.
ESET Descubre malware de etapas múltiples
Se descubrió una nueva forma de malware de varias etapas en 8 aplicaciones en Google Play por ESET empresa de seguridad. El malware, detectado como Android/TrojanDropper.Agent.BKY por ESET, es básicamente un troyano bancario.
Las aplicaciones fueron descubiertas rápidamente, por lo tanto sólo fueron capaces de conseguir un par de cientos de descargas. El malware fue haciéndose pasar por Android aplicaciones de limpieza o noticias. Se han quitado desde entonces de Google Play Store.
Una vez que los usuarios descargar las apps, no notan nada extraño como las aplicaciones se comportan como se espera por los usuarios y no pedir cualquier permiso extraño. El malware también emplea la arquitectura multietapa y cifrado para permanecer sin ser detectada.
Cuando está descargado, ejecutará su carga de la primera etapa, que pondrá en marcha una segunda etapa carga. La carga de la segunda etapa luego descargas una app, la carga de la tercera etapa. Esto está sucediendo en el fondo, así los usuarios no es consciente.
Como explica ESET, el es entonces solicita a los usuarios instalar la aplicación descargada, que podría ser disfrazada como algún tipo de software aparentemente legítimo. La aplicación maliciosa entonces pedir a los usuarios a conceder varios permisos, y si el usuario lo hace, la aplicación ejecutaría la carga final útil, que es básicamente un troyano bancario.
El troyano bancario entonces mostrará pantallas falsas para obtener sus credenciales o tarjetas de crédito.