Aplicaciones de malware de Android con 2 millones de instalaciones encontradas en Google Play

Se encontró un nuevo lote de treinta y cinco aplicaciones de Android de malware que muestran anuncios no deseados en Google Play Store, con las aplicaciones instaladas más de 2 millones de veces en los dispositivos móviles de las víctimas.

Las aplicaciones fueron encontradas por investigadores de seguridad de Bitdefender, quienes emplearon un método de análisis basado en el comportamiento en tiempo real para descubrir las aplicaciones potencialmente maliciosas.

Siguiendo tácticas estándar, las aplicaciones atraen a los usuarios para que las instalen pretendiendo ofrecer alguna funcionalidad especializada, pero cambian su nombre e ícono inmediatamente después de la instalación, lo que dificulta su búsqueda y desinstalación.

A partir de ese momento, las aplicaciones maliciosas comienzan a mostrar anuncios intrusivos a los usuarios abusando de WebView, generando impresiones e ingresos publicitarios fraudulentos para sus operadores.

Además, debido a que estas aplicaciones usan su propio marco para cargar los anuncios, es probable que sea posible colocar cargas útiles adicionales en un dispositivo comprometido.

Ocultar métodos

Como  explica Bitdefender en el informe , las aplicaciones de adware implementan múltiples métodos para ocultarse en Android e incluso reciben actualizaciones posteriores para que sea más fácil ocultarlas en los dispositivos.

Después de la instalación, las aplicaciones generalmente asumen un ícono de engranaje y se renombran como "Configuración" para evadir la detección y eliminación.

Si el usuario hace clic en el icono, la aplicación inicia la aplicación de malware con un tamaño 0 para ocultarla. Luego, el malware inicia el menú de configuración legítimo para engañar a los usuarios haciéndoles creer que iniciaron la aplicación correcta.

Función para iniciar la configuración del sistema (Bitdefender)

En algunos casos, las aplicaciones asumen la apariencia de las aplicaciones del sistema Motorola, Oppo o Samsung.

Las aplicaciones maliciosas también cuentan con cifrado y ofuscación de código pesado para frustrar los esfuerzos de ingeniería inversa, ocultando la carga útil principal de Java dentro de dos archivos DEX cifrados.

Otro método para que las aplicaciones se oculten del usuario es excluirse de la lista de 'Aplicaciones recientes', por lo que incluso si se ejecutan en segundo plano, exponer los procesos activos no los revelará.

Aplicaciones populares que publican anuncios

Las 35 aplicaciones maliciosas de Android tienen recuentos de descargas que van desde 10 000 a 100 000, con un total de más de dos millones de descargas.

Los más populares de estos, con 100.000 descargas cada uno, son los siguientes:

• Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
• Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
• Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
• Engine Wallpapers (gb.helectronsoftforty.comlivefour)
• Stock Wallpapers (gb.fiftysubstantiated.wallsfour)
• EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo)
• Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight)
• Fast Emoji Keyboard APK (de.eightylamocenko.editioneights)
• Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)
• Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)
• Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)
• Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme)
• Animated Sticker Master 1.0 (am.asm.master)
• Sleep Sounds 1.0 (com.voice.sleep.sounds)
• Personality Charging Show 1.0 (com.charging.show)
• Image Warp Camera
• GPS Location Finder (smart.ggps.lockakt)

De los anteriores, 'Walls light - Wallpapers Pack', 'Animated Sticker Master' y 'GPS Location Finder' todavía están disponibles en Play Store al escribir este artículo.

Adware aún disponible en Play Store

Bleeping Computer se ha puesto en contacto con Google al respecto y actualizaremos esta publicación tan pronto como recibamos una respuesta.

El resto de las aplicaciones enumeradas están disponibles en varias tiendas de aplicaciones de terceros como APKSOS, APKAIO, APKCombo, APKPure y APKsfull, pero los recuentos de descargas presentados corresponden a su tiempo en Play Store.

Dicho esto, si ha instalado alguna de estas aplicaciones en el pasado, debe ubicarlas y eliminarlas de su dispositivo de inmediato.

Debido a que las aplicaciones se hacen pasar por Configuraciones, ejecutar una herramienta AV móvil para ubicarlas y eliminarlas podría ser útil en este caso.

Fuente: https://www.bleepingcomputer.com/

No olvides Compartir...  Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon