Google se queja de los troyanos Ztorg que afectan a la tienda de aplicaciones de Google Play


Google se ha visto obligado a intervenir y eliminar aplicaciones maliciosas potencialmente capaces de enrutar dispositivos y enviar mensajes SMS caros desde Google Play Store.

Cuando descarga una aplicación móvil de una fuente oficial, como Google Play Store de Android o Apple iOS App Store, espera que dicho software sea legítimo y seguro de usar.

En su mayor parte, esto es cierto, pero a veces las aplicaciones maliciosas se deslizan a través de la red.

Desde septiembre de 2016, Kaspersky Labs ha encontrado varias aplicaciones maliciosas en Google Play, todas ellas variantes de malware capaces de infectar dispositivos que pueden explotar el sistema operativo Android para realizar actividades como espionaje, vigilancia, descarga de malware adicional y control total de Dispositivos.

Parece que el envío exitoso de malware a la tienda de aplicaciones para Android ha continuado. Los investigadores de Kaspersky Lab dicen que en mayo se han encontrado dos nuevas aplicaciones troyanas.

La primera aplicación malintencionada, llamada “Navegador mágico”, está destinada a acelerar la navegación por Internet. Subido a Google Play el 15 de mayo, se ha instalado más de 50.000 veces.

La segunda aplicación se denomina “Detector de ruido” y se describe como un software capaz de supervisar y registrar el ruido ambiental. Esta aplicación se ha instalado más de 10.000 veces.

Ambas aplicaciones contienen el troyano Ztorg. Aunque no es un malware de enrutamiento, el troyano puede causar daños graves ya que es capaz de enviar mensajes SMS de tarifa premium desde un teléfono infectado sin el consentimiento del usuario.

Una vez descargado y desplegado en un dispositivo, el malware ha sido instruido para permanecer inactivo durante 10 minutos para aliviar la sospecha. Cuando este tiempo ha terminado, el troyano se conecta a su servidor de comando y control (C & C) antes de hacer dos solicitudes GET para obtener la Identidad Internacional de Suscriptor Móvil (IMSI) del dispositivo.

Con este número seguro, los operadores pueden identificar el código del país y el operador móvil del dispositivo del usuario, que es necesario para apuntar mensajes SMS de tarifa premium en la dirección correcta.

Cuando los mensajes comienzan a aparecer, el malware luego apaga el sonido del dispositivo y elimina todos los mensajes entrantes para evitar que el usuario note que algo está mal.

Como suele ser el objetivo final de los ciberdelincuentes ganar dinero, el troyano enviará mensajes SMS de alta calidad, pero si envía ofertas publicitarias desde el C & C, también mostrará estos anuncios al usuario para generar ingresos adicionales.

En total, Magic Browser intenta enviar mensajes SMS desde 11 lugares diferentes, mientras que Noise Detector contiene similitudes en su código.

Otras muestras del troyano que se encuentran en aplicaciones ajenas a la tienda de Google sugieren que el troyano también se ha actualizado con funcionalidades y herramientas adicionales, como el potencial para realizar ataques de clickjacking y para inscribir a los usuarios en los programas de facturación WAP sin permiso.

Kaspersky cree que las aplicaciones se subieron para diferentes propósitos. El primero, Magic Browser, puede haber sido cargado como una prueba para ver si los ciberdelincuentes podrían salirse con ciertas funciones, mientras que Noise Detector fue cargado con la versión estándar de Ztorg.

“En el proceso de subida decidieron agregar alguna funcionalidad maliciosa para ganar dinero mientras trabajaban en la publicación del malware de enrutamiento”, dice la firma de seguridad cibernética. “Es probable que, si la aplicación no se hubiera eliminado de Google Play, habrían añadido esta funcionalidad en la siguiente etapa”.

Las aplicaciones se informaron a Google y rápidamente se eliminaron de la tienda, pero para aquellos que ya han comprometido sus dispositivos mediante la descarga del software, la eliminación de las aplicaciones es de suma importancia. También valdría la pena buscar en un escáner de malware móvil para eliminar los archivos maliciosos sobrantes y ayudar a limitar el riesgo de futuras infecciones.

Vía |zdnet

log in

reset password

Back to
log in