Las aplicaciones maliciosas de Android desactivaron el código de fraude para evitar los análisis de seguridad de Google


Aplicaciones de Android

Imagen vía Rami Al-zayat en Unsplash

Google ha eliminado recientemente un conjunto de aplicaciones maliciosas de Android de la Engage in Shop oficial que fueron capturadas mostrando anuncios fuera de contexto y redireccionamientos intrusivos del navegador en los teléfonos inteligentes Android.

La compañía de mitigación de bots White Ops, que descubrió e informó las aplicaciones maliciosas al equipo de seguridad de Google, dijo que las aplicaciones fueron desarrolladas por el mismo grupo prison.

Los investigadores dijeron que el grupo creó al menos 38 aplicaciones de Android destinadas a bombardear a los usuarios con anuncios, pero que las aplicaciones recientes habían sido modificadas para deshabilitar las funciones de adware malicioso dentro del código fuente, lo más probable para evitar los escaneos de seguridad de Google Participate in Retail outlet durante el envío y aprobación de la aplicación. proceso.

Ocultar el código malicioso period necesario porque cuando el grupo comenzó a crear las aplicaciones de adware, no tuvieron mucho éxito.

La operación comenzó en enero de 2019.

White Ops dice que el grupo ha estado activo desde enero de 2019, cuando comenzó a cargar aplicaciones en la Perform Retail store oficial. Veintiuna de las 38 aplicaciones maliciosas del grupo se cargaron en Enjoy Retailer durante esta fase inicial de su operación.

Todas las aplicaciones se centraron en temas relacionados con la belleza, como aplicaciones para tomar selfies o aplicaciones que agregaron varios filtros a las fotos de los usuarios. Sin embargo, una vez instaladas, las aplicaciones llenaron de anuncios a los usuarios, abrieron navegadores a un anuncio en línea e intentaron evitar que los usuarios los desinstalaran ocultando los íconos de sus aplicaciones.

Sin embargo, estas aplicaciones no eran muy sofisticadas. Si bien pasaron las revisiones iniciales de Google, las aplicaciones finalmente se detectaron como maliciosas.

White Ops dice que la mayoría de estas aplicaciones duraron, en promedio, alrededor de 17 días antes de ser eliminadas de la tienda de aplicaciones.

wo-app-lifetime.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/09/89701405-b3c5-4a86-a69c-f1d1074e9c4c/wo-app-lifetime.png

Sin embargo, a pesar de la corta vida útil de 17 días, la mayoría de las aplicaciones lograron el siguiente número, con un promedio de 565,833 instalaciones.

Modus operandi cambió el otoño pasado

Pero White Ops dice que el grupo no se quedó de brazos cruzados mientras Google seguía retirando sus aplicaciones iniciales. Para septiembre de 2019, el grupo había cambiado sus tácticas al adoptar dos métodos para ocultar el código malicioso de bombardeo publicitario de sus aplicaciones.

El primero fue usar caracteres árabes en varios lugares del código fuente de sus aplicaciones. La plan period evitar que los ingenieros inversos de Google detectaran funciones maliciosas deslumbrantes mediante el uso de texto en árabe en lugar de inglés e incluso el uso de versos del Corán en algunos lugares.

En segundo lugar, el grupo también comenzó a eliminar directamente el código malicioso. Desde septiembre de 2019, el grupo ha estado ocupado cargando un lote de 15 aplicaciones de belleza que tenían deshabilitada toda su funcionalidad de explosión de anuncios maliciosos.

Esto significa que las aplicaciones son «técnicamente» limpias y legítimas, pero el código podría volver a agregarse mediante una actualización en cualquier momento en el futuro, lo que White Ops cree que es muy probable.

Sin embargo, dado que las aplicaciones provienen de un actor de amenazas conocido, Google ha eliminado las aplicaciones para estar seguras.

Según White Ops, las 38 aplicaciones maliciosas se habían descargado más de 20 millones de veces desde que comenzó la operación del grupo en enero de 2019. Este es un número bastante grande de usuarios afectados para una operación que ni siquiera era muy sofisticada, en comparación con otras Tensiones de adware de Android.

Los lectores de ZDNet pueden encontrar los nombres de las 38 aplicaciones maliciosas de Android en este archivo PDF. Los detalles adicionales sobre esta campaña de malware están disponibles en el informe de White Ops, aquí.



Enlace a la noticia primary