Descubren un spyware en apps de Google Play que se propagó a 196 países

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Un spyware Android denominado MobSTSPY ha logrado llevar aplicaciones troyanas a una distribución mundial generalizada, principalmente a través de Google Play. El malware se hace pasar por una aplicación legítima de linterna, juegos y herramientas de productividad, logrando infiltrarse en Google Play con al menos seis aplicaciones diferentes en el transcurso de 2018.

"Parte de lo que hace que este caso sea interesante es el grado de distribución de sus aplicaciones", afirman los investigadores de Trend Micro Ecular Xu y Gray Guo. "A través de nuestra monitorización de back-end y una investigación profunda, pudimos ver la distribución general de los usuarios afectados y encontramos se propagó a un total de 196 países diferentes".

Las aplicaciones encontradas en Google Play fueron Flappy Birr Dog, FlashLight, HZPermis Pro Arabe, Win7imulator, Win7 Launcher y Flappy Bird, todas las cuales aparecieron el año pasado y ahora ya no están disponibles. Algunas fueron descargadas más de 100.000 veces por usuarios de todo el mundo.

En términos de capacidad, el spyware principalmente un ladrón de información, aunque también tiene capacidades de phishing. MobSTSPY sustrae datos como la ubicación del usuario, mensajes de texto, listas de contactos, registros de llamadas y elementos del portapapeles; y, el malware es capaz de robar y cargar archivos que se encuentran en el dispositivo. Trend Micro observó que utiliza Firebase Cloud Messaging (FCM) para comunicarse con su servidor de comando y control (C&C), y que filtra los datos según el comando que recibe.

También recopila información útil sobre el dispositivo, como el idioma utilizado, su país registrado, el fabricante del dispositivo, etc., que se puede utilizar para tener una "huella digital" del dispositivo para ataques de explotación o de ingeniería social posteriores. "Envía la información recopilada a su servidor de C&C, registrando así el dispositivo", señalan los investigadores. "Una vez hecho esto, el malware esperará y ejecutará los comandos enviados desde su servidor C&C a través de FCM".

Además de sus capacidades de robo de información, el malware también puede reunir credenciales adicionales a través de un ataque de phishing. Muestra falsos mensajes emergentes de Facebook y Google que solicitan los detalles de la cuenta del usuario; si se ingresan, devuelve un mensaje de "inicio de sesión fallido".

Según los investigadores este spyware “demuestra que, a pesar de la prevalencia y la utilidad de las aplicaciones, los usuarios deben permanecer cautelosos al descargarlas en sus dispositivos. La popularidad de las aplicaciones sirve como un incentivo para que los ciberdelincuentes continúen desarrollando campañas para robar información o realizar otros tipos de ataques".