junio 20, 2021

Las aplicaciones de Google Play con 500,000 descargas suscriben a los usuarios a servicios caros

Las aplicaciones de Google Play con 500,000 descargas suscriben a los usuarios a servicios caros

Los hackers y Google Play han estado involucrados en un baile tenso durante la última década. Los hackers ocultan malware en el repositorio de aplicaciones de Android de Google. Google lo descarta y crea defensas para evitar que vuelva a suceder. Entonces los hackers encuentran una nueva apertura y comienzan de nuevo. Se repitieron estos dos pasos, esta vez con una familia de malware conocida como Joker, que se ha infiltrado en Play desde al menos 2017.

Joker es un código malicioso que se esconde dentro de aplicaciones aparentemente legítimas. A menudo espera horas o días después de que la aplicación se ejecute para funcionar en un intento de eludir la detección automática de malware de Google. El jueves, los investigadores de la firma de seguridad Check Point dijeron que el Joker volvió a atacar, esta vez al acecho en 11 aplicaciones aparentemente legítimas descargadas de Play unas 500,000 veces. Una vez activado, el malware permitió que las aplicaciones suscribieran ilegalmente a los usuarios a costosos servicios premium.

La nueva variante encontró un nuevo truco que no se detectó: ocultó su carga maliciosa dentro del llamado manifiesto, un archivo que Google requiere que todas las aplicaciones incluyan en su directorio raíz. La intención de Google es que el archivo XML ofrezca más transparencia al hacer que los permisos, los iconos y otra información de la aplicación sean fáciles de encontrar.

Los desarrolladores de Joker han encontrado formas de usar el manifiesto para su ventaja. Sus aplicaciones incluían código benigno para cosas legítimas como enviar mensajes de texto o ver imágenes en las partes previstas del archivo de instalación. Luego ocultaron el código malicioso dentro de los metadatos del manifiesto.

Los desarrolladores agregaron dos niveles más de acción invisible. Primero, el código malicioso se almacenó en cadenas codificadas en base 64 que no son legibles por humanos. Segundo, durante el tiempo en que Google estaba evaluando aplicaciones, la carga maliciosa habría permanecido inactiva. Solo después de la aplicación, el código Joker se cargó y ejecutó. Google eliminó las aplicaciones después de que Check Point las informara.

En enero, Google lanzó una descripción detallada de Pan, el nombre alternativo para el Joker, que enumeró sus muchas formas de sortear las defensas. La publicación decía que Play Protect, el servicio de escaneo automático de Google, había detectado y eliminado 1.700 aplicaciones únicas de Play Store antes de descargarlas. El descubrimiento de Checkpoint de un nuevo lote de aplicaciones descargadas medio millón de veces subraya las limitaciones de Play Protect.

«Nuestros últimos hallazgos indican que las protecciones de Google Play Store no son suficientes», escribió Aviran Hazum, jefe de investigación móvil en Check Point, en un correo electrónico. «Hemos podido detectar numerosos casos de cargas semanales de Joker a Google Play, todos los cuales han sido descargados por usuarios desprevenidos. El malware Joker es difícil de detectar, a pesar de la inversión de Google en agregar protecciones Play. Tienda: aunque Google ha eliminado aplicaciones maliciosas de Play Store, podemos esperar que Joker se adapte nuevamente «.

Para evitar la detección, las variantes anteriores de Joker a menudo obtenían una carga útil maliciosa, en forma de un archivo dex cargado dinámicamente, de un servidor de comando y control después de que la aplicación ya estaba instalada. A medida que las defensas de Google han mejorado, ese método se ha vuelto menos efectivo. La solución para los desarrolladores fue archivar el archivo dex, en forma de 64 cadenas básicas, dentro del manifiesto. Para activarse, la carga útil solo requería la confirmación del servidor de supervisión de que la campaña estaba activa. Check Point también encontró otra variación de Joker que ocultaba las 64 cadenas base dentro de una clase interna de la aplicación principal.

Las 11 aplicaciones de Check Point encontradas son:

  • com.imagecompress.android
  • com.contact.withme.texts
  • com.hmvoice.friendsms
  • com.relax.relaxation.androidsms
  • com.cheery.message.sendsms (dos instancias diferentes)
  • com.peason.lovinglovemessage
  • com.file.recovefiles
  • com.LPlocker.lockapps
  • com.remindme.alram
  • com.training.memorygame

Cualquier persona que haya instalado una de estas aplicaciones debe verificar sus extractos bancarios en busca de cargos no reconocidos.

Por ahora, la mayoría de los lectores están familiarizados con los consejos de seguridad de la aplicación de Android. Más importante aún, los usuarios deben instalar aplicaciones con moderación y solo cuando brinden un beneficio real o sean realmente necesarias. Siempre que sea posible, los usuarios deben preferir aplicaciones de desarrolladores conocidos, o al menos aquellos con sitios web u otros elementos históricos que indiquen que no son operaciones de vuelo nocturno. Las personas deben verificar periódicamente qué aplicaciones están instaladas y eliminar aquellas que ya no están en uso.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *