Quienes están detrás del malware han encontrado la manera de filtrar las barreras de seguridad de la tienda de aplicaciones.
No es la primera vez que ciberdelincuentes logran filtrar virus en aplicaciones de la tienda de Google Play, burlándose de las medidas de seguridad, para defraudar a todos los usuarios que puedan antes de ser detectados.
Recientemente, hablamos sobre la detección que hizo la especialista en malware en Android, Tatyana Shishkova, del troyano Joker que estaba infiltrado en cerca de 20 aplicaciones, las cuales, antes de ser bajadas por Google fueron instaladas en más de 20 mil dispositivos.
No obstante, según Threat Fabric, se calcula que en suma han habido más de 300 mil infecciones a smartphones usando la misma táctica que los creadores de Joker, es decir, usando una aplicación como su caballo de Troya.
La mayoría de estos ataques, se centran en robar información bancaria o mandar SMS activando suscripciones de pago sin que se entere el usuario para de ese modo cometer fraude y obtener dinero a costa de quien bajó la aplicación.
La investigación del sitio señala que los troyanos bancarios de Android se han tomado la estratagema en serio y se han adaptado durante años a las restricciones que la tienda de aplicaciones de Google va renovando para limitar sus operaciones.
“Estas restricciones incluyen establecer limitaciones en el uso de ciertos permisos de aplicaciones (peligrosos), que juegan un papel importante en la distribución o automatización de tácticas de malware”, señala.
Cuáles son sus tácticas
Como se dijo, a pesar de los esfuerzos de Google por implementar nuevas medidas de seguridad para evitar que los ciberdelincuentes cuelen sus aplicaciones infectadas, siempre logran encontrar la forma de hacer de las suyas.
Un ejemplo de las actualizaciones de Google para evitar que lleguen hasta la tienda fue introducida el 3 de noviembre de 2021. Fue una modificación que limita el uso de los Servicios de Accesibilidad, que fue abusado por campañas de cuentagotas anteriores para automatizar e instalar aplicaciones sin el consentimiento del usuario.
Este tipo de acciones ha obligado a los ciberdelincuentes a encontrar formas de reducir significativamente su huella de las aplicaciones de cuentagotas. Asimismo, han mejorado sus esfuerzos en el código del malware, ya que las campañas de distribución de Google Play son más refinadas en comparación de las anteriores.
“Por ejemplo, mediante la introducción de pequeñas actualizaciones de códigos maliciosos cuidadosamente planificadas durante un período más largo en Google Play, así como con un backend C2 de cuentagotas para que coincida completamente con el tema de la aplicación de cuentagotas (por ejemplo, un sitio web de Fitness que funcione para una aplicación centrada en el entrenamiento).”
Con la finalidad de ser más difíciles de detectar, los que están detrás de las apps infectadas solo activan manualmente la instalación del troyano bancario en un dispositivo con la app infectada en caso de que quieran más víctimas en una región específica del mundo. De ese modo, la detección automatizada sea una estrategia mucho más difícil de adoptar por cualquier organización.
La investigación señala que datos de VirusTotal no muestra la evolución de las detecciones de productos antivirus, pues casi todas tuvieron una puntuación de 0/62 en algún momento, lo que confirma la dificultad de detectar aplicaciones infectadas de cuentagotas.
En un lapso de cuatro meses, los malware de propagaron a través de Google Play, resultando en más de 300 mil infecciones en varias aplicaciones de cuentagotas.
“Una tendencia notable en las nuevas campañas de cuentagotas es que los actores se están enfocando en cargadores con una huella maliciosa reducida en Google Play, aumentando considerablemente las dificultades para detectarlos con técnicas de automatización y aprendizaje automático”, concluyó el análisis.