Nuevo ataque sobre usuarios de Android

El mercado no oficial de aplicaciones para Android ha sido siempre el medio favorito para difuncir aplicaciones maliciosas para este sistema, especialmente en regiones como Asia, donde los usuarios no tienen acceso al repositorio oficial.

Este es también el caso de la última campaña diseñada por los ciber-delincuentes para atraer a los usuarios e incitarlos a que instalen aplicaciones bien valoradas en el verdadero mercado de Android, pero que han sido manipuladas con el fin de lanzar servicios adicionales junto con la aplicación original.

Así, un usuario que descargue una aplicación original para Android desde un sitio de terceros obtendrá la aplicación verdadera, así como un servicio troyanizado (normalmente se llama "GoogleServicesFrameworkService"), que se inicia tan pronto como el programa comienza a ser utilizado por el usuario.

Identificado por Bitdefender como Android.Trojan.FakeUpdates.A, este ejemplat de malware se conecta a un servidor C & C y obtiene una lista de enlaces a APKs (Android application package, un paquete de aplicaciones para el sistema operativo Android) diferentes. Después de eso, se descarga cada APK y a continuación muestra una notificación con el texto “Para tener acceso a las últimas actualizaciones, haga clic en Instalar” (hasta ahora sólo en lenguas asiáticas). Esto confunde al usuario, que no sabe de dónde procede el mensaje.

Este troyano pide una amplia gama de permisos mientras se instala, con el fin de asegurarse de que puede tomar el control total sobre el teléfono inteligente cuando sea necesario. Dependiendo de la APKs que se descargue e instale, la aplicación puede requerir hasta 10 privilegios antes de la instalación y la mayoría de los usuarios lo aceptará sin ningún tipo de dudas, ya que creen que lo que se va a instalar es una actualización de una de las aplicaciones que ya se ha descargado.

La publicación de aplicaciones de Android en webs de terceros no son nada nuevo, sin embargo, lo que es particularmente importante es el modus operandi de los atacantes: se publica una aplicación totalmente de fiar en los respectivos mercados, se la mantiene un par de días para obtener calificaciones positivas y ganar la confianza de los usuarios, y luego cambian la APK por un servicio troyanizado con el fin de cumplir con sus objetivos maliciosos. También, es de gran importancia que la mayoría de las aplicaciones de reenvasado que hemos analizado tienen bajas tasas de detección, lo que representa un peligro real, incluso para los usuarios de smartphones que ejecutan una solución de seguridad móvil.

Android.Trojan.FakeUpdates.A plantea una amenaza inmediata para el usuario del smartphone, ya que puede descargar e instalar cualquier cosa, desde versiones de prueba que luego piden un pago por instalarse completamente, a spyware y troyanos.

Con el fin de proteger su privacidad y mantener el dispositivo seguro, se aconseja no instalar aplicaciones que soliciten más permisos de los que normalmente son necesarios para que una aplicación funciones. Además, la instalación de una solución de seguridad móvil le ayudará a mitigar este tipo de ataques.