Descubierto nuevo malware que se salta los mecanismos de protección de Google Play

Los investigadores de la firma de seguridad han detectado una familia de malware para Android, formada por ocho aplicaciones e identificada como Android/TrojanDropper.Agent.BKY. Estas apps aparentan ser legítimas, pero tras su instalación comienzan a desarrollar su actividad maliciosa.

No te pierdas el webinar Por una Transformación Digital Segura, porque hay que adoptar la nube, pero de forma segura, y saber en todo momento dónde están nuestros datos.

También puedes leer... Por una Transformación Digital Segura Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

Ninguna de las aplicaciones ha alcanzado el millar de descargas pero, según ESET, el nuevo vector de ataque es interesante porque “incluye funciones innovadoras que dificultan su detección, por ejemplo, una arquitectura maliciosa que se desarrolla en múltiples etapas o un cifrado que pretende evitar los sistemas de seguridad”.

Cómo actúa
Cuando el usuario descarga e instala alguna de estas apps, no ocurre nada sospechoso: no piden más permisos de los esperados y las apps funcionan como se prevé, sin embargo, trabajan en la sombra. En realidad, la falsa app descifra y ejecuta su acción maliciosa, payload en inglés, que a su vez descifra y ejecuta un segundo payload de forma invisible para el usuario.

La acción maliciosa de la segunda etapa contiene una URL codificada desde la que se descarga otra app maliciosa en una tercera etapa del proceso de infección. Tras una espera forzada por los ciberdelicuentes, se solicita la descarga de un supuesto programa legítimo (utilizan Adobe Flash Player, u otras apps falsas que aparentan ser necesarias, como “Android Update” o “Adobe Update”). En cualquiera de los casos, el propósito de la app es descargar el último payload y obtener todos los permisos necesarios para llevar a cabo los propósitos de los delincuentes.

Una vez instalada la app y con los permisos concedidos, el malware descifra y ejecuta el payload final, un troyano bancario para móviles que se comporta como cualquier app maliciosa de este tipo: presenta una pantalla falsa de inicio para robar las credenciales del usuario o los detalles de su tarjeta de crédito.

Recomendaciones de ESET
Si algún usuario ha sido afectado por esta familia de malware, la compañía aconseja desactivar los derechos de administrador del payload instalado (desde Ajustes-Personal-Seguridad-Administración de Dispositivos), desinstalar el payload instalado como Adobe Flash Player, Android Update o Adobe Update (desde Ajustes-Personal-Aplicaciones) y desinstalar la app descargada desde Play Store (dependiendo de la versión de Android, los menús pueden variar). Para desinstalar la app maliciosa descargada desde la tienda de Google, hay que buscar alguno de los siguientes nombres: MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн or Слоты Онлайн Клуб Игровые Автоматы.

Para protegerse de este tipo de actividades maliciosas, recomienda como norma general comprobar las puntuaciones y los comentarios de las apps que se descargan, revisar los permisos que se conceden a las aplicaciones y contar con una solución de seguridad especialmente diseñada para dispositivos móviles.