Encuentran el malware MobOk en apps de edición de fotos de Google Play

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Los expertos de Kaspersky han descubierto el malware de robo de dinero MobOk oculto en aplicaciones de edición de fotos aparentemente legítimas disponibles en la tienda Google Play. Se trata de las apps ‘Pink Camera’ y ‘Pink Camera 2’, que en el momento del hallazgo se habían instalado unas 10.000 veces. Las aplicaciones se han eliminado de Google Play y ya no están disponibles.

MobOk es un backdoor, uno de los tipos de malware más peligrosos, ya que ofrece al atacante un control casi completo sobre el dispositivo infectado. A pesar de que el contenido subido a Google Play está completamente filtrado, esta no es la primera vez que las amenazas llegan a los dispositivos de los usuarios. En muchos casos, las puertas traseras están cubiertas por una aplicación semi-funcional, que a primera vista parece ser un intento pobre, pero inocente, de crear una aplicación legítima. Por esta razón, las aplicaciones Pink Camera no despertaron sospechas, ya que incluían una funcionalidad de edición de fotos genuina y se habían descargado de la fiable tienda de Google Play.

Sin embargo, tan pronto como los usuarios comenzaron a editar sus imágenes usando las aplicaciones Pink Camera, las aplicaciones solicitaron acceso a las notificaciones y esto inició la actividad maliciosa en segundo plano. El objetivo de esta actividad era suscribir al usuario a servicios de suscripción móvil. Por lo general, parecen páginas web que ofrecen un servicio a cambio de un pago diario que se carga a la factura del teléfono móvil.

Una vez que la víctima estaba infectada, el malware MobOk recopilaba información del dispositivo, como el número de teléfono asociado, para explotar esta información en etapas posteriores del ataque. Luego, los atacantes enviaron detalles de páginas web con servicios de suscripción de pago al dispositivo infectado y el malware los abriría, actuando como un navegador en segundo plano secreto. Usando el número de teléfono extraído anteriormente, el malware lo insertaría en el campo "suscribirse" y confirmaría la compra. Ya que tenía el control total sobre el dispositivo y podía verificar las notificaciones, el malware ingresaba el código de confirmación del SMS cuando llegaba, todo sin avisar al usuario. La víctima comenzaría a incurrir en costes y continuaría haciéndolo hasta que detectase los pagos en su factura telefónica y cancelase la suscripción a cada servicio.

"La capacidad de edición de fotos de las apps Pink Camera no era muy impresionante, pero lo que podían hacer entre bambalinas era extraordinario: suscribir a personas a servicios maliciosos en ruso, inglés y tailandés, monitorizar SMS y solicitar Captcha: el código que debe escribir para demostrar que no es un robot. Esto significa que también tenían el potencial de robar dinero de las cuentas bancarias de las víctimas. Nuestra teoría es que los atacantes detrás de estas aplicaciones crearon tanto los servicios de suscripción, que no todos eran auténticos, como el malware que enganchaba a los suscriptores, y los diseñaron para llegar a una audiencia internacional", señala Igor Golovin, investigador de seguridad de Kaspersky.