Descubiertos nuevos adclickers que infectan de malware a apps de Google Play

  • Endpoint

BearClod y Haken han afectado a más de 50 aplicaciones de la plataforma que suman más de 78 millones de descargas. A ellos se suma el spyware conocido como Joker, que permite tener acceso y controlar todas las notificaciones y suscribir al usuario a servicios premium sin que se dé cuenta.

La descarga de aplicaciones se ha convertido en una práctica de riesgo para la seguridad de la información de los usuarios. Y es que investigadores de Check Point Software Technologies han descubierto recientemente nuevos adclickers que infectan de malware las aplicaciones de Google Play.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Los adclickers, un tipo de malware que simula el comportamiento del usuario pulsando sobre los 'banners' de anuncios, son una amenaza creciente en la industria del móvil. En los últimos tiempos, se ha observado un aumento en la actividad de “BearClod”, un adclicker que infectó 47 nuevas aplicaciones que estaban disponibles en Google Play, las cuales fueron descargadas más de 78 millones de veces por los usuarios. Este tipo de malware utiliza una creación de vista web y carga de código JavaScript malicioso que realiza el clic y generar así beneficios económicos.

Por otra parte, los investigadores de Check Point descubrieron un nuevo adclicker conocido como “Haken”, que por el momento ha afectado a och aplicaciones (principalmente aplicaciones de cámara y apps para niños) que suman más de 50.000 descargas. Esta familia de malware, sin embargo, utiliza un enfoque diferente para la implementación de la funcionalidad de los adclickers, ya que utiliza código nativo e inyección de código malicioso en las bibliotecas de Facebook y AdMob mientras se comunica con un servidor remoto para obtener la configuración de las aplicaciones infectadas. De esta forma, Haken ha mostrado tener éxito a la hora de generar clicks en campañas publicitarias maliciosas sin ser detectado por Google Play.

Además de los adclickers, otra de las familias de malware que ha reaparecido en los últimos meses afectado es “Joker”, un spyware y marcador premium que suscribe al usuario a servicios de pago, y que ha vuelto a Google Play infectando a cuatro aplicaciones, que entre todas suman más de 130.000 descargas. Casi todas las semanas desde su lanzamiento, Joker logró entrar en la tienda oficial y ser descargado en los dispositivos de los usuarios.

Joker tiene como objetivo aprovechar la descarga de estas aplicaciones para instalar una carga útil en el dispositivo del usuario que le permita tener acceso y controlar todas las notificaciones recibidas, así como poder enviar mensajes de texto sin que le usuario lo sepa. Además, Joker utiliza la carga útil instalada en el dispositivo para analizar todo el tráfico de notificaciones y SMS entrantes, extraer el código de confirmación para dar de alta el servicio premium y lo reenvía a la “página de ofertas” con el objetivo de hacer efectiva la subscripción a dicho servicio a través de un navegador oculto. Asimismo, es importante destacar que este spyware, para dificultar que sea detectado por cualquier herramienta de seguridad, utiliza un cifrado simple XOR para ocultar su funcionalidad.

“Estas nuevas campañas de malware ponen de manifiesto que los cibercriminales están constantemente buscando alternativas para infectar los dispositivos de millones de usuarios en todo el mundo. Cada día se suben cientos de aplicaciones nuevas disponibles para descargar, por lo que es imprescindible tomar medidas de seguridad para proteger la información almacenada en estos dispositivos”, recalca Eusebio Nieva, director técnico de Check Point para España y Portugal.  Por este motivo, desde la compañía destacan que, si se tiene alguna sospecha de que una aplicación instalada en el teléfono puede estar infectada, es fundamental desinstalarla rápidamente, así como revisar todas las facturas para comprobar si se ha producido algún tipo de cobro como consecuencia de una subscripción y, por ende, dar de baja este servicio.