Malware oculto en Google Play con más de 2,1 millones de descargas

Symantec encontró aplicaciones con malware oculto en Google Play con más de 2,1 millones de descargas. Las aplicaciones maliciosas se esconden después de la instalación y muestran agresivamente anuncios de pantalla completa.

La empresa ha descubierto otra ola de aplicaciones maliciosas en Play Store que fueron reportadas a Google el pasado 2 de septiembre de 2019 y fueron eliminadas de la tienda.

Un total de 25 kits de paquetes de Android (APK), en su mayoría disfrazados como una aplicación de utilidad de fotos y una aplicación de moda, se publicaron en 22 cuentas de desarrollador diferentes, con la muestra inicial cargada en abril de 2019. Estas 25 aplicaciones maliciosas comparten una estructura de código similar y contenido de la aplicación, el código más avanzado del código fuente.


Archivo de configuración remota

Cuando se instala por primera vez, el icono de la aplicación todavía está visible en el dispositivo, lo que permite al usuario abrir e interactuar con la aplicación normalmente. Sin embargo, sin que el usuario lo sepa, la solicitud se realiza en segundo plano a través de un servicio de terceros para descargar en el archivo de configuración remota.

Si se intercepta el archivo de configuración y es posible ver varias configuraciones diferentes, incluida una que puede alternar el comportamiento de ocultación de iconos de la aplicación, así como otras configuraciones relacionadas con la publicidad. Para otros APK, se deshabilitó el comportamiento de ocultar iconos y mostrar anuncios.

Una vez que se descarga el archivo de configuración, el malware extrae la configuración y la aplica. A partir del código de malware, se puede ver que las palabras clave, como "app_hideIcon" en el caso de la función de ocultación de iconos y las mismas han sido codificadas y cifradas.

Quick Heal informa sobre 29 aplicaciones maliciosas

Quick Heal Security Labs reportó 29 aplicaciones maliciosas encontradas en Google Play Store, que tienen un recuento de descargas colectivas de más de 10 millones. Una de las aplicaciones de este conjunto, llamada "Multiapp multiple accounts simultaneously" ya ha cruzado 5 millones de instalaciones.

De este conjunto de 29 aplicaciones maliciosas, 24 son de la categoría HiddAd. Las aplicaciones HiddAd ocultan su icono después del primer inicio y crean acceso directo en la pantalla de inicio. El propósito claro de esta acción es que los usuarios no deben ser capaces de desinstalarlo simplemente arrastrando el icono. Cuando los usuarios inician la aplicación a través del acceso directo, estas aplicaciones muestran anuncios a pantalla completa en la pantalla del dispositivo.

Algunas de estas aplicaciones pueden mostrar publicidad incluso cuando el dispositivo está en estado inactivo y la aplicación no está en uso activo. La mayoría de estas aplicaciones son de la categoría de fotografía y son similares a hiddAds anteriores encontrados en Google Play Store. 1 muestra capturas de pantalla de aplicaciones hiddAd maliciosos de Google Play Store.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos