85 aplicaciones de robo de credenciales encontradas en Google Play Store


Investigadores de seguridad de TI de Kaspersky Lab identificaron alrededor de 85 aplicaciones en Google Play durante octubre y noviembre de 2017 que robaban credenciales para VK.com , una plataforma de redes sociales con sede en Rusia.

La mayoría de estas aplicaciones se incluyeron en la Play Store en octubre, mientras que otras se cargaron en julio. Uno de ellos tenía más de un millón de descargas, mientras que algunas aplicaciones tenían alrededor de mil instalaciones. Muchas aplicaciones eran bastante populares entre los usuarios ya que 7 aplicaciones tenían aprox. 10,000 y 100,000 descargas y 9 de ellas se instalaron entre 1,000 y 10,000 veces.

Las aplicaciones que fueron más populares fueron las aplicaciones de juegos enviadas a Google Play en abril de 2017. Estas aplicaciones se cargaron sin ningún código malicioso después de una actualización de octubre de 2017, y estaban equipadas con funciones de robo de credenciales. Más de un millón de descargas fueron recopiladas por una de las aplicaciones de juegos en solo 7 meses.

“Estas aplicaciones no solo se enmascararon como aplicaciones de Telegram, sino que se construyeron con un SDK de Telegram de código abierto y funcionan casi como cualquier otra aplicación similar”, escribieron los investigadores en una publicación de blog .

Por el contrario, la mayoría de las aplicaciones ofensivas se crearon para aparecer como aplicaciones para VK.com, lo que les permite a los usuarios escuchar música o realizar un seguimiento de las visitas de las páginas de los usuarios. Este tipo de aplicaciones generalmente requiere que los usuarios inicien sesión en sus cuentas antes de usar el servicio y es por eso que nunca se sospechó de juego sucio.

Primero, las aplicaciones buscan el idioma de los dispositivos y solo solicitan credenciales si el usuario ha habilitado el ruso, kazajo, ucraniano, bielorruso, rumano, armenio, azerbaiyano, uzbeco, kirguiso o tayiko como idioma del dispositivo. Vale la pena señalar que esta campaña en particular está dirigida solo a los usuarios de VK.com, ya que este sitio tiene bastante seguidores en los países de la CEI.

Los investigadores de Kaspersky Lab identificaron que los atacantes detrás de esta campaña han estado publicando sus aplicaciones maliciosas en Google Play desde hace dos años y que a lo largo de los años han modificado el código malicioso para evitar la detección. Las aplicaciones infectadas usaban un SDK oficial para el sitio web ruso VK.com, de modo que se engaña al usuario para que ingrese sus credenciales de inicio de sesión. La información recibida se cifra y carga en un servidor remoto. Este servidor está controlado por el atacante. Aunque la mayoría de estas aplicaciones maliciosas contienen funciones descritas, algunas de ellas son un poco diferentes, ya que no solo extraen credenciales sino que también las cargan.

Según los investigadores, los atacantes usan credenciales para la promoción de grupos en el sitio web VK.com y silenciosamente siguen agregando usuarios para aumentar la popularidad de estos grupos. Google ha eliminado todas las aplicaciones de robo de credenciales que se identificaron como Trojan-PSW.AndroidOS.MyVk.o y los clientes de Telegram no-virus: HEUR: RiskTool.AndroidOS.Hcatam.a.

En caso de que se hayan instalado las aplicaciones, es posible eliminarlas habilitando Google Play Protect, la nueva característica de seguridad lanzada que elimina las aplicaciones maliciosas de los teléfonos inteligentes Android a través del aprendizaje automático y el análisis de uso de aplicaciones.

Vía |hackread

log in

reset password

Back to
log in