Defensor ID, un malware que logró permanecer meses oculto en Google Play

Investigadores de ESET han descubierto un malware para Android, denominado Defensor ID, el cual, utilizando una nueva técnica, muy sigilosa pero muy simple, logró permanecer oculto en la tienda oficial Google Play.

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

En el análisis llevado a cabo sobre la aplicación se descubrió que hacía un uso inadecuado de los Servicios de Accesibilidad sin requerir de otros permisos sospechosos ni tener otras funciones maliciosas. Como las soluciones de seguridad están preparadas para detectar combinaciones de usos sospechosos de este servicio junto con otros comportamientos maliciosos, cuando se encontraban con el malware, los mecanismos de seguridad fallaban en su respuesta al no encontrar otras funcionalidades adicionales o permisos sospechosos más allá de las acciones llevadas a cabo en los Servicios de Accesibilidad. Por ello, Defensor ID pudo colarse y permanecer durante meses en Google Play sin ser detectada por ninguno de los fabricantes de seguridad que participan en el programa VirusTotal.

Además de tratarse de un malware muy sigiloso, Defensor ID es capaz de provocar daños importantes en las víctimas. Pertenece a la categoría de malware de troyanos bancarios y es excepcionalmente perjudicial, ya que, una vez instalado, solo necesita una acción por parte de la víctima para desplegar su potencial.

“En cuanto el usuario activa los Servicios de Accesibilidad, Defensor ID puede acceder y vaciar la cuenta bancaria de la víctima o su cartera de criptomonedas y apropiarse de la cuenta de correo o de las redes sociales, entre otras acciones”, señala Lukas Stefanko, responsable en ESET de la investigación sobre Defensor ID.

Después de que ESET avisara a Google, Defensor ID fue eliminada de la tienda de aplicaciones Android.

“Decidimos publicar los resultados de nuestra investigación sobre este malware para ayudar a la industria a tratar con este tipo de amenazas. A partir de ahora, los desarrolladores de este malware tendrán más complicado acceder a Google Play y a los dispositivos de los usuarios”, añade Stefanko. “Hemos aprendido una lección muy valiosa. Hemos mejorado nuestras tecnologías de detección, basándonos en la experiencia que hemos tenido con Defensor ID, para cubrir un tipo de malware con una tasa de detección bastante baja”.