Los investigadores de seguridad informática (o ciberseguridad) de Zscaler ThreatLabz descubrieron otro lote de malware de Android que estaba disponible en Google Play Store, y que cientos de miles de usuarios descargaron antes de que fuera eliminado. Este lote incluye docenas de aplicaciones que ocultaron tres cepas de malware principales: Joker, Facestealer y Coper.
A pesar de que suena como nombres de villanos de Batman, estos son tres malwares peligrosos que ejecutan ataques multifacéticos y pueden comprometer datos personales, robar información de inicio de sesión, estafar en transacciones financieras no deseadas e incluso otorgar a los hacker el control remoto total de los dispositivos infectados.
¿Qué pueden hacer Joker, Facestealer y Coper?
Como la mayoría del malware de Android, las aplicaciones maliciosas eran troyanos, un software que parece inofensivo, pero que secretamente contiene malware. Algunas de las aplicaciones en el informe de Zscaler utilizaron tácticas sofisticadas para eludir la inspección antimalware de Google Play, mientras que otras cargaron el malware después de que se instaló la aplicación. Algunos incluso podrían pasar por alto el sistema antimalware del dispositivo utilizando estas técnicas.
De los tres tipos de malware, Joker representó la mayoría de las infecciones y apareció en 50 aplicaciones con más de 300.000 descargas entre todas. No es de extrañar que Joker haya compuesto la gran mayoría de los ataques; es un malware prolífico que se usa comúnmente para estafas de protocolo de aplicación inalámbrica (WAP), en las que las víctimas se registran en servicios de suscripción no deseados a través de su operador de telefonía móvil. Estos ataques no necesitan acceso directo a la información de su banco o tarjeta de crédito, sino que dependen de los datos móviles del dispositivo infectado para suscribirse a los servicios a través de su factura telefónica.
La mayoría de las aplicaciones de Joker en este lote de malware eran apps de mensajería y comunicación que acceden a las funciones de datos móviles y mensajes de texto de su teléfono para comprar suscripciones prémium, después interceptan y eliminan los mensajes de texto de confirmación de los servicios en los que se registra. Revisar los permisos de una aplicación es una forma común de detectar software peligroso, pero una aplicación de comunicación que solicita permisos relacionados con SMS y datos móviles no parecería fuera de lugar, por lo que los usuarios afectados pueden no tener idea de que están pagando por servicios no deseados a menos que revisen atentamente cada elemento de su factura telefónica mensual.
Las aplicaciones de Joker también usarán los datos personales que usan para las estafas WAP en otros ataques, como ingresar a sus redes sociales y cuentas bancarias, pero el verdadero ladrón de identidad en el grupo es Facestealer.
Muchas aplicaciones legítimas requieren una identificación de Facebook, Twitter, Google o Apple, pero las aplicaciones Facestealer usan pantallas de inicio de sesión de redes sociales falsas que roban su información de inicio de sesión. Las pantallas de inicio de sesión falsificadas generalmente se cargan directamente en la aplicación y parecen reales, por lo que es fácil pasarlas por alto. Luego, los hackers pueden usar su información de inicio de sesión para secuestrar su cuenta y propagar más malware a sus amigos a través de mensajes o, peor aún, desviar información personal que puede ayudarlos a robar su identidad. Zscaler encontró Facestealer en una sola aplicación, Vanilla Snap Camera, que solo tuvo 5.000 descargas, pero es casi seguro que hay otros troyanos Facestealer disfrazados de aplicaciones reales en Google Play.
El último malware, Coper, también apunta a robar tus datos personales e información de inicio de sesión. Puede leer las entradas de texto de tu teclado, intenta engañarte con pantallas de inicio de sesión falsas e incluso accede y lee tus textos. Todos estos datos robados se comparten silenciosamente con los creadores de la aplicación para lanzar ataques de smishing, phishing e incluso intercambio de SIM. Coper es peligroso, pero afortunadamente solo está asociado con una sola aplicación, Unicc QR Scanner, que tuvo alrededor de 1.000 descargas. Sin embargo, el peligro en este caso es que el malware no estaba realmente oculto en el código de la aplicación, sino que se cargó lateralmente a través de una actualización de aplicación falsa. Esta es una táctica común que usan los hackers para eludir por completo los análisis antimalware de Google Play, ya que simplemente pueden agregar el malware más tarde.
Cómo mantenerse a salvo
Puedes encontrar una lista completa de las aplicaciones maliciosas y cómo ejecutaron sus ataques en el informe de Zscaler. La buena noticia es que todas las aplicaciones infractoras se eliminaron de Google Play y se deshabilitaron en los dispositivos que las descargaron de Play Store.
Dicho esto, es solo cuestión de tiempo antes de que se descubra otra ronda de malware para Android. Necesitas protegerte de posibles amenazas en todo momento.
Ya hemos explicado algunas de las mejores formas de proteger los dispositivos Android, las cuentas de redes sociales y otros datos personales contra todo tipo de estafas, piratería y filtraciones. Pero cuando se trata de aplicaciones de Android, la mejor manera de mantenerse seguro es instalar solo aplicaciones de editores conocidos y confiables, y descargarlas solo de fuentes verificadas como Google Play Store, APK Mirror o XDA Developers.
Si decide descargar una aplicación de un lugar desconocido, asegúrese de leer las reseñas e investigar la aplicación en internet primero. Sin embargo, a menos que una aplicación ofrezca una funcionalidad que simplemente no puedes obtener de la aplicación original, no hay motivo para descargar aplicaciones alternativas de mensajes de texto, cámara o escaneo de códigos QR, especialmente cuando su teléfono puede hacer todas estas cosas con las funciones integradas que ya incluye. [vía Bleeping Computer]