Los ciberdelincuentes usan la Darknet para vender apps de Google Play maliciosas

  • Endpoint

Google play generica

Para publicar una aplicación maliciosa, los ciberdelincuentes necesitan una cuenta de Google Play y un código de descarga malicioso, que se pueden comprar por hasta 20.000 dólares. Algunos atacantes también ofrecen comprar instalaciones para aumentar el número de descargas.

Cada año una amplia gama de aplicaciones maliciosas se eliminan en Google Play solo después de que las víctimas hayan ha sido infectadas. Los expertos de Kaspersky han descubierto que las aplicaciones móviles maliciosas y las cuentas de los desarrolladores de la app store se venden en la Darknet.

Utilizando Kaspersky Digital Footprint Intelligence, los investigadores recopilaron ejemplos de nueve foros diferentes de la Darknet donde se lleva a cabo la compra y venta de bienes y servicios relacionados con malware. El informe revela que, al igual que en los foros legítimos para vender productos, hay también varias ofertas en la Darknet para diferentes necesidades y clientes con diferentes presupuestos.

Para publicar una aplicación maliciosa, los ciberdelincuentes necesitan una cuenta de Google Play y un código de descarga malicioso (Google Play Loader). Una cuenta de desarrollador se puede comprar a bajo precio, por 200 dólares y, a veces, incluso por tan solo 60. El coste de los códigos de descarga oscila entre 2.000 y 20.000, dependiendo de la complejidad del malware, la novedad y la prevalencia del código malicioso, así como de las funciones adicionales.

A menudo, se sugiere que el malware que se distribuye se oculte en rastreadores de criptomonedas, aplicaciones financieras, escáneres de códigos QR e incluso aplicaciones de citas. Los ciberdelincuentes también destacan cuántas descargas tiene la versión legítima de la app, lo que significa cuántas víctimas potenciales pueden infectarse al actualizar la app y agregarle código malicioso. Con mayor frecuencia las sugerencias especifican 5.000 descargas o más.

Por un extra, los ciberdelincuentes pueden ofuscar el código de la aplicación para hacerlo más difícil de detectar por las soluciones de ciberseguridad. Para aumentar el número de descargas de una aplicación maliciosa, muchos atacantes también ofrecen comprar instalaciones, dirigiendo tráfico a través de anuncios de Google y atrayendo a más usuarios para descargar la aplicación. Las instalaciones cuestan de manera diferente para cada país. El precio medio es de 50 centavos, con ofertas que van desde 0,10 dólares hasta varios dólares.

Los estafadores ofrecen tres tipos de trabajos: un porcentaje de la ganancia final, alquiler y compra de una cuenta o una amenaza. Algunos vendedores incluso realizan subastas para comprar sus productos, ya que muchos vendedores limitan el número de lotes vendidos. Los vendedores de la Darknet también pueden ofrecer publicar la aplicación maliciosa para que el comprador no interactúe directamente con Google Play. Para reducir los riesgos a la hora de hacer tratos, los ciberdelincuentes suelen recurrir a la servicios de intermediarios desinteresados, conocidos como "escrow”.

"Las aplicaciones móviles maliciosas siguen siendo una de las principales ciberamenazas dirigidas a los usuarios, con más de 1,6 millones de ataques a dispositivos móviles detectados en 2022. Al mismo tiempo, la calidad de las soluciones de ciberseguridad que protegen a los usuarios de estos ataques también está aumentando. En la Darknet encontramos mensajes de ciberdelincuentes quejándose de cómo ahora es mucho más difícil para subir sus aplicaciones maliciosas a las tiendas oficiales. Sin embargo, esto también significa que ahora se les ocurrirán esquemas de ataque mucho más sofisticados, por lo que los usuarios deben mantenerse alerta y verificar cuidadosamente qué aplicaciones están descargando", comenta Alisa Kulishenko, experta en seguridad en Kaspersky.