Google detalla su lucha de tres años contra la operación de malware Bread (Joker)


malware móvil android

Google dijo ayer que eliminó con éxito más de 1.700 aplicaciones enviadas a Engage in Retailer en los últimos tres años que habían sido infectadas con varias versiones del malware Bread, también conocido como Joker.

Google describió esta operación de malware como una de las amenazas más persistentes que trató durante los últimos años.

Si bien la mayoría de los operadores de malware se dan por vencidos una vez que Google detecta sus aplicaciones, el grupo Bread nunca lo hizo. Durante más de tres años, desde 2017, los operadores de Pan han estado produciendo nuevas versiones de su malware semanalmente.

Persistencia y gran volumen.

Con los años, su modus operandi siempre fue el mismo, centrándose en hacer pequeños cambios aquí y allá, con el propósito de encontrar una brecha en las defensas y controles de seguridad de Google Play Store.

Si bien la mayoría de las veces, esto no funcionó, a veces sí funcionó. Por ejemplo, en septiembre de 2019, el investigador de seguridad Aleksejs Kuprins encontró 24 aplicaciones infectadas con el malware Bread (Joker) que se metió en la Enjoy Store. Un mes después, Pradeo Labs encontró otra aplicación infectada con Pan (Joker). Pattern Micro también encontró 29 aplicaciones infectadas con pan Unos días más tarde. Unos días después de eso, K7 Safety encontró otras cuatro aplicaciones que también se deslizó en Participate in Keep. Entonces Dr.World wide web encontró otras ocho aplicacionesy Kasperksy encontró cuatro más. Esto sigue y sigue. Esta Hoja de cálculo de Google Docs contiene otras instancias de cuando el malware Bread (Joker) llegó a Play Shop.

Sin embargo, Google informa que la mayoría de las veces, fue capaz de evitar que el malware llegara a sus usuarios, bloqueando más de 1,700 envíos de aplicaciones maliciosas del grupo Bread.

En una publicación de weblog que detalla su lucha contra la pandilla Bread publicado anoche, Google dijo que los operadores «en algún momento han utilizado casi todas las técnicas de ocultación y ofuscación bajo el sol en un intento de pasar desapercibidas».

El equipo de seguridad de Google dijo que el malware no era lo que alguien llamaría sofisticado, sino simplemente más persistente que otros.

«El volumen puro parece ser el enfoque preferido para los desarrolladores de Pan», dijo Google.

«En diferentes momentos, hemos visto tres o más variantes activas usando diferentes enfoques o apuntando a diferentes operadores», agregó Google. «En las horas pico de actividad, hemos visto hasta 23 aplicaciones diferentes de esta familia enviadas a Participate in en un día».

Google también dijo que también se detectaron cepas de malware de Bread en Play Retailer, lo que sugiere que esta operación de malware sabía a qué y a quién apuntar desde el primer momento y nunca se desvió de su camino, incluso si inicialmente no tuvieron éxito.

Revisiones falsas y anuncios de YouTube

Pero como Google admitió, y otros han señalado, ha habido algunas lagunas en las defensas de Perform Keep, que el equipo de Pan explotó.

En la mayoría de los casos, el truco que ayudó al equipo de malware de Bread a superar las revisiones de seguridad de Perform Shop fue una técnica llamada «versionado», que se refiere a cargar una versión limpia de la aplicación y luego agregar funciones maliciosas en puntos posteriores a través de actualizaciones de la aplicación.

Para asegurarse de que infecten a tantos usuarios como sea posible, Invictus Europe (y otros) dicen que el grupo Bread a menudo usaba video clips de YouTube para dirigir a los usuarios hacia aplicaciones maliciosas, impulsando las características de la aplicación en un intento de infectar a la mayor cantidad posible de usuarios.

Además, Google dice que vio que la pandilla de Pan a menudo usa críticas falsas para aumentar la reputación de su aplicación y ahogar las negativas.

Del fraude por SMS a la facturación WAP

Según Google, el foco principal de esta operación de malware period el fraude financiero. Las versiones iniciales del malware Bread se centraron en el fraude de SMS, que se refiere a la práctica de usar un dispositivo infectado para pagar productos o servicios no deseados enviando un SMS a un número top quality.

Cuando Google introdujo permisos más fuertes y más estrictos para las aplicaciones de Android que querían acceder a la función de SMS de un dispositivo, la pandilla de Pan simplemente cambió de táctica, cambiando al fraude WAP.

El fraude WAP, también conocido como facturación de peaje, se refiere a los piratas informáticos que utilizan dispositivos infectados para conectarse a páginas de pago a través de la conexión WAP de un dispositivo, y el pago se carga automáticamente a la factura telefónica de un dispositivo.

Tanto el fraude de SMS como WAP han sido muy populares entre los desarrolladores de malware durante años. Esto se debe a que ambos métodos de facturación utilizan la verificación del dispositivo, pero no la verificación del usuario.

Las empresas de telecomunicaciones móviles pueden verificar que una solicitud proviene del dispositivo de la víctima, pero no pueden saber si la solicitud fue realizada por el usuario, o si fue automatizada por un script o malware.

El malware WAP solía ser un gran problema en el mundo móvil a fines de la década de 2000 y principios de 2010. En 2017, este reportero escribió sobre una tendencia en la escena del malware de Android sobre El resurgimiento de los troyanos WAP. En ese momento, en 2017, troyanos WAP como Ubsod, Xafekopy, Autosus y Podec hicieron un regreso repentino, inesperado e inexplicable después de años de silencio.

Como Google señaló ayer, la operación de Pan parece ser el pináculo de este regreso, siendo la más activa y persistente de todas.

Basado en su pura persistencia, parecen haber obtenido ganancias considerables de lo contrario, lo más possible es que se hayan rendido.

«Esta familia muestra la cantidad de recursos que los autores de malware ahora tienen que gastar», dijo Google.





Enlace a la noticia authentic