Nuevas campañas de adclickers que infectan aplicaciones con malware
La descarga de aplicaciones se ha convertido en una tendencia muy extendida entre los usuarios, que buscan en este tipo de programas nuevas formas de ocio, comunicarse, etc. Sin embargo, son muchos los riesgos que esta costumbre implica para la seguridad de la información de los usuarios.
Recientemente investigadores de Check Point Software Technologies, proveedor líder especializado en ciberseguridad a nivel mundial, han descubierto recientemente una nueva familia de malware de clicker, junto con muestras recientes de la familia de spyware Joker en Google Play.
“La oferta de aplicaciones móviles disponibles para descargar es cada vez más amplia, lo que deriva en que los millones de usuarios se conecten a plataformas como Google Play para descargar e instalar un gran número de estos programas en sus dispositivos móviles”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. “Este hecho hace que los cibercriminales hayan decidido dirigir sus ataques contra este tipo de plataformas con el objetivo de infectar miles de aplicaciones. Además de los riesgos asociados a las vulnerabilidades existentes en estos programas, otro de los principales peligros reside en que los cibercriminales infectan con malware miles de aplicaciones, por lo que datos como las credenciales, fotografías, correos electrónicos o incluso los SMS de los usuarios están en peligro”, añade Nieva.
“BearClod” y “Haken”, los nuevos adclickers que infectan de malware las aplicaciones de Google Play
Los adclickers, un tipo de malware que simula el comportamiento del usuario pulsando sobre los 'banners' de anuncios, son una amenaza creciente en la industria del móvil. En los últimos tiempos, se ha observado un aumento en la actividad de “BearClod”, que infectó 47 nuevas aplicaciones que estaban disponibles en Google Play, las cuales fueron descargadas más de 78 millones de veces por los usuarios. Este tipo de malware utiliza una creación de vista web y carga de código JavaScript malicioso que realiza el clic y generar así beneficios económicos.
Por otra parte, los investigadores de Check Point descubrieron un nuevo adclicker conocido como “Haken”, que por el momento ha afectado a 8 aplicaciones (principalmente aplicaciones de cámara y apps para niños) que suman más de 50.000 descargas. Esta familia de malware, sin embargo, utiliza un enfoque diferente para la implementación de la funcionalidad de los adclickers, ya que utiliza código nativo e inyección de código malicioso en las bibliotecas de Facebook y AdMob mientras se comunica con un servidor remoto para obtener la configuración de las aplicaciones infectadas. De esta forma, Haken ha mostrado tener éxito a la hora de generar clicks en campañas publicitarias maliciosas sin ser detectado por Google Play. Los investigadores de Check Point informaron de esta amenaza a la compañía, y todas las aplicaciones infectadas fueron eliminadas de la plataforma de descarga Google Play. Asimismo, la mayoría han lanzado nuevas versiones que no estaban afectadas por este malware.
Poca broma con este “Joker”, un spyware encontrado en Google Play que te roba información
Además de los adclickers, otra de las familias de malware que ha reaparecido en los últimos meses afectado es “Joker”. Descubierto por primera vez en septiembre de 2019, se trata de un spyware (programa para espiar) y marcador premium que suscribe al usuario a servicios de pago que ha vuelto a Google Play infectando a 4 aplicaciones, que entre todas suman más de 130.000 descargas. Casi todas las semanas desde su lanzamiento, Joker logró entrar en la tienda oficial y ser descargado en los dispositivos de los usuarios.
Este spyware tiene como objetivo aprovechar la descarga de estas aplicaciones para instalar una carga útil en el dispositivo del usuario que le permita tener acceso y controlar todas las notificaciones recibidas, así como poder enviar mensajes de texto sin que le usuario lo sepa. Además, Joker utiliza la carga útil instalada en el dispositivo para analizar todo el tráfico de notificaciones y SMS entrantes, extraer el código de confirmación para dar de alta el servicio premium y lo reenvía a la “página de ofertas” con el objetivo de hacer efectiva la subscripción a dicho servicio a través de un navegador oculto. Asimismo, es importante destacar que este spyware, para dificultar que sea detectado por cualquier herramienta de seguridad, utiliza un cifrado simple XOR para ocultar su funcionalidad.
“Estas nuevas campañas de malware ponen de manifiesto que los cibercriminales están constantemente buscando alternativas para infectar los dispositivos de millones de usuarios en todo el mundo. Cada día se suben cientos de aplicaciones nuevas disponibles para descargar, por lo que es imprescindible tomar medidas de seguridad para proteger la información almacenada en estos dispositivos”, recalca Eusebio Nieva. Por este motivo, desde la compañía destacan que, si se tiene alguna sospecha de que una aplicación instalada en el teléfono puede estar infectada, es fundamental desinstalarla rápidamente, así como revisar todas las facturas para comprobar si se ha producido algún tipo de cobro como consecuencia de una subscripción y, por ende, dar de baja este servicio.
