Aplicación de Android encontrada en Google Engage in Shop con malware de Home windows


Tiempo estimado de lectura: 3 minutos

Recientemente, Fast Recover Protection Labs encontró una aplicación de Android presente en Google Play Retail outlet que estaba infectada por el malware de Home windows. La aplicación está diseñada para la configuración de Gionee SmartWatch y para visualizar los datos a través de la aplicación. Al seguir analizando la aplicación, encontramos pocos archivos HTML infectados con malware de Windows. Estos archivos HTML infectados estaban presentes en la carpeta de activos de APK. Esta no es la primera vez que un APK de Android se infecta con malware de Windows, ya que también hay hallazgos similares de otros investigadores. Pero esto es primero que una aplicación oficial de una empresa conocida está infectada. La aplicación infectada fue desarrollada y cargada en Google Perform Store por Gionee, un fabricante chino de teléfonos inteligentes.

Sospechamos que el entorno del desarrollador de la aplicación podría haberse infectado ya, y se abrió camino en el paquete APK mientras cargaba la aplicación en Play Retail outlet.

Figura 1: aplicación de amigo G y su información.

Figura 2: Revisiones de los usuarios finales.

En un análisis posterior de los archivos HTML, notamos que se agrega algo de código VBScript al closing del archivo HTML, como se muestra en la Figura 3. El VBScript tiene un código codificado de Windows ejecutable y un código para volcarlo en un archivo ejecutable. Deja caer esta carga útil en un archivo con el nombre «svschost.exe» y hace un llamado a la ejecución. Como VBScript es un lenguaje de secuencias de comandos de Microsoft Windows, y no se ejecutará en la plataforma Android.

En Home windows, este tipo de malware se clasifica como Infectores, este malware se dirige a los archivos EXE, DLL y HTML y los infecta agregando código malicioso. Para el análisis técnico de este tipo de Infector, puede visitar la publicación del weblog «Ramnit Malware: Improvisando sus armas».

Figura 3: Código malicioso agregado dentro de HTML

Reportamos esta aplicación al equipo de seguridad de Android de Google el 20th Febrero de 2020 y Google fue lo suficientemente rápido como para eliminar la aplicación infectada de Google Engage in Shop después de revalidar nuestro reclamo. Los desarrolladores de la aplicación han tomado las medidas necesarias y hay una versión nueva y limpia de la aplicación disponible en Engage in Store. Aunque esta aplicación puede no ser directamente perjudicial para los dispositivos Android, contiene archivos que son perjudiciales para otras plataformas. Categorías de Google tales aplicaciones como Amenaza no Android.

Detalles sobre la aplicación G Buddy infectada

Nombre de la aplicación: G Buddy – Wise ‘LIFE’

Versión de la aplicación: 1..11

Nombre del paquete: com.gn.exercise

Aplicación MD5: 203ceed411b0b58ea7967084fe7d6816

Enlace de Google Participate in

https://play.google.com/shop/apps/particulars?id=com.gn.conditioning&hl=en_IN

* *Las marcas registradas respectivas son propiedad de sus respectivos propietarios de marcas registradas.

Cómo mantenerse a salvo

1. Verifique la descripción de una aplicación antes de descargarla.

2. Verifique el nombre del desarrollador de la aplicación y su sitio world-wide-web. Si el nombre suena extraño o extraño, tiene todos los motivos para sospecharlo.

3. Revisa las reseñas y calificaciones de la aplicación. Pero, tenga en cuenta que estos también pueden ser falsificados.

4. Evite descargar aplicaciones de tiendas de aplicaciones de terceros.

5. Utilice un antivirus móvil confiable (como Fast Mend Complete Stability), que puede evitar que se instalen aplicaciones falsas y maliciosas en su teléfono.

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia primary