Aplicación de Android encontrada en Google Participate in Store con malware de Windows


Tiempo estimado de lectura: 2 minutos

Recientemente, Fast Heal Protection Labs encontró una aplicación de Android presente en Google Enjoy Shop que estaba infectada por el malware de Home windows. La aplicación está diseñada para la configuración de Gionee SmartWatch y para visualizar los datos a través de la aplicación. Al seguir analizando la aplicación, encontramos pocos archivos HTML infectados con malware de Windows. Estos archivos HTML infectados estaban presentes en la carpeta de activos de APK. Esta no es la primera vez que un APK de Android se infecta con malware de Home windows, ya que también hay hallazgos similares de otros investigadores. Pero esto es primero que una aplicación oficial de una empresa conocida está infectada. La aplicación infectada fue desarrollada y cargada en Google Play Shop por Gionee, un fabricante chino de teléfonos inteligentes.

Sospechamos que el entorno del desarrollador de la aplicación podría haberse infectado ya, y se abrió camino en el paquete APK mientras cargaba la aplicación en Engage in Retail outlet.

Figura 1: aplicación de amigo G y su información.

Figura 2: Revisiones de los usuarios finales.

En un análisis posterior de los archivos HTML, notamos que se agrega un código VBScript al closing del archivo HTML, como se muestra en la Figura 3. El VBScript tiene un código codificado de Windows ejecutable y un código para volcarlo en un archivo ejecutable. Deja caer esta carga útil en un archivo con el nombre «svschost.exe» y hace un llamado a la ejecución. Como VBScript es un lenguaje de secuencias de comandos de Microsoft Windows, y no se ejecutará en la plataforma Android.

En Home windows, este tipo de malware se clasifica como Infectores, este malware se dirige a los archivos EXE, DLL y HTML y los infecta agregando código malicioso. Para el análisis técnico de este tipo de Infector, puede visitar la publicación del website «Ramnit Malware: Improvisando sus armas».

Figura 3: Código malicioso agregado dentro de HTML

Reportamos esta aplicación al equipo de seguridad de Android de Google el 20th Febrero de 2020 y Google fue lo suficientemente rápido como para eliminar la aplicación infectada de Google Play Shop después de revalidar nuestro reclamo. Los desarrolladores de la aplicación han tomado las medidas necesarias y hay una versión nueva y limpia de la aplicación disponible en Engage in Retail outlet. Aunque esta aplicación puede no ser directamente perjudicial para los dispositivos Android, contiene archivos que son perjudiciales para otras plataformas. Categorías de Google tales aplicaciones como Amenaza no Android.

Detalles sobre la aplicación G Buddy infectada

Nombre de la aplicación: G Buddy – Clever ‘LIFE’

Versión de la aplicación: 1..11

Nombre del paquete: com.gn.fitness

Aplicación MD5: 203ceed411b0b58ea7967084fe7d6816

Enlace de Google Engage in

https://engage in.google.com/keep/applications/information?id=com.gn.fitness&hl=en_IN

* *Las marcas registradas respectivas son propiedad de sus respectivos propietarios de marcas registradas.

¿Tienes algo que agregar a esta historia? Compártelo en el



Enlace a la noticia initial