Guerrilla, el malware que burla Google Play
Expertos de Kaspersky Lab han descubierto un troyano en Android llamado Guerrilla, que trata de superar los mecanismos de protección antifraude de la tienda Google Play mediante una aplicación fraudulenta que se comporta como si hubiera una persona detrás de ella.
Esta falsa aplicación permite a los ciberatacantes llevar a cabo campañas de promoción sospechosas usando dispositivos infectados para descargar, instalar, votar y hacer comentarios sobre las publicaciones en Google Play. Sin embargo, este malware no solo es capaz de abusar de los mecanismos de los dispositivos infectados.
Con millones de usuarios y desarrolladores de software, Google Play es una plataforma atractiva para los cibercriminales. Entre otras cosas, los ciberdelincuentes usan Google Play para llevar a cabo las llamadas campañas Shuabang, muy extendidas en China. Estas actividades de publicidad fraudulentas están dirigidas a promocionar algunas aplicaciones legítimas mediante la concesión de valoraciones más altas, incrementando sus descargas y publicando comentarios positivos sobre ellas en Google Play.
Muchas de estas aplicaciones usadas para llevar a cabo estas campañas, por lo general, no plantean ninguna amenaza para el usuario del dispositivo infectado - como robo de datos o de dinero. Sin embargo, pueden hacer mucho más daño: la habilidad para descargar aplicaciones adicionales en los dispositivos infectados supone una carga extra para el tráfico de Internet, y, en algunos casos, las aplicaciones Shuabang son capaces de instalar, secretamente, programas gratuitos e incluso de pago, además de usar la tarjeta bancaria asociada a la cuenta del usuario de Google Play.
Para llevar a cabo estas actividades, los ciberdelincuentes crearon numerosas cuentas falsas en Google Play o infectaron los dispositivos de los usuarios con un malware especial con capacidad para realizar acciones en esta plataforma de forma encubierta basadas en las órdenes recibidas de los hackers.
Aunque Google tiene fuertes mecanismos de protección que ayudan a detectar y bloquear usuarios falsos para prevenir operaciones fraudulentas, los autores del troyano Guerrilla parecen estar tratando de superar esas protecciones.
El troyano se introduce en el dispositivo a través del rootkit Leech, un malware que otorga a los ciberatacantes privilegios de usuario sobre el dispositivo infectado. Estos privilegios dan a los cibercriminales oportunidades ilimitadas para manipular los datos del dispositivo. Entre otras cosas, permite el acceso al nombre de usuario, a contraseñas y a tokens de autenticación, que son obligatorios para comunicarse con las aplicaciones de los servicios oficiales de Google e inaccesibles para las aplicaciones normales en dispositivos no rooteados. Tras la instalación, el troyano Guerrilla usa los datos para comunicarse con la tienda de Google Play como si se tratase de una aplicación real.
Los criminales son muy cautelosos y cuidadosos a la hora de usar los datos de autenticación de un usuario real, haciendo que las solicitudes de la aplicación falsa del cliente a Google Play parezcan exactamente igual a las solicitudes que emitiría una persona real.
Otra característica inusual acerca de este troyano es que los creadores del malware han intentado imitar la forma en la que un usuario real interactúa con la tienda. Por ejemplo, antes de que se solicite a la página donde se aloja una aplicación en concreto, busca una aplicación de su interés al igual que lo haría una persona.
“Guerrilla no es la primera aplicación maliciosa que intenta manipular la tienda de Google Play, pero lo hace de una manera muy sofisticada que no habíamos visto antes. La idea detrás de este método es clara: Google puede distinguir fácilmente las solicitudes que han sido hechas por robots – la mayoría del malware Shuabang que conocemos envía automáticamente solicitudes de una página particular y de una aplicación concreta. Esto es algo que no haría una persona real, por lo que es fácil para Google saber que esa petición no proviene de un usuario autorizado. Sin embargo, el malware que busca una aplicación antes de ir a la página de la aplicación es mucho más difícil de detectar, ya que esta es la forma en la que se comportan los usuarios de Google Play. Es importante señalar que el malware solo es capaz de abusar de los mecanismos de Google Play de los dispositivos rooteados. Por ello, es de importante evitar los smartphones y tablets de Android rooteados”, ha asegurado Nikita Buchka, experta en seguridad en Kaspersky Lab.