El operador de malware emplea un nuevo truco para cargar su …



Los investigadores de Test Level descubrieron recientemente el cuentagotas Clast82 oculto en nueve aplicaciones de utilidad legítimas de Android.

Los investigadores de Examine Place descubrieron recientemente que el operador de una herramienta de malware que irrumpe en las cuentas financieras de los usuarios móviles estaba empleando un nuevo método novedoso para colarse su malware en la tienda oficial de aplicaciones móviles Android Perform de Google.

El método implicó el uso de la propia plataforma Firebase de Google para las comunicaciones de comando y management (C2) y el uso de GitHub como una plataforma de alojamiento de terceros para descargar el malware principal. Permitió al atacante engañar y pasar los controles de seguridad que Google realiza en todas las aplicaciones antes de que puedan cargarse en su tienda de aplicaciones o descargarse en un dispositivo.

Look at Place dijo que sus investigadores en enero descubrieron un nuevo gotero de malware oculto dentro de nueve aplicaciones de utilidad de Android legítimas y conocidas en la tienda Google Enjoy. Las aplicaciones envenenadas incluían varias VPN, un lector de códigos de barras, un reproductor de música y una grabadora de llamadas de voz. «Esas aplicaciones (estaban) basadas en proyectos de código abierto», dice Aviran Hazum, gerente de investigación móvil de Test Issue. «El actor (podría) simplemente descargar el código, insertar los componentes maliciosos y compilar la aplicación».

Cuando un usuario descargaba cualquiera de las aplicaciones armadas, que Google ahora ha eliminado de su Participate in Shop, la aplicación funcionaría como se esperaba incluso si ejecutaba una actividad maliciosa en segundo plano, dijo Hazum.

Los investigadores encontró que el cuentagotas, llamado Clast82, fue diseñado específicamente para evadir la detección por los mecanismos de escaneo de Participate in Protect de Google durante el período de evaluación de la aplicación. Una vez que se completó la evaluación, el autor del malware esencialmente activó el comportamiento malicioso y consiguió que el cuentagotas instalara AlienBot Banker y MRAT, dos familias de malware móvil.

Para lograr esto, el operador de malware utilizó una cuenta en la plataforma de desarrollo de aplicaciones móviles Firebase de Google como su servidor C2. Durante el período de evaluación de la aplicación de Google, el actor de amenazas usó la cuenta de Firebase para establecer un parámetro específico en el cuentagotas a un valor tal que sus capacidades maliciosas estaban esencialmente desactivadas. Una vez que Google aprobó y publicó la aplicación, el atacante habilitó el parámetro para activar la actividad maliciosa. «Simplemente (no) dejó caer ninguna carga útil», dice Hazum durante el proceso de evaluación. «Una vez que finalizó el período de evaluación, el actor (encendió) el comportamiento malicioso».

Una vez habilitado, el cuentagotas descargó AlienBot Banker desde donde estaba almacenado en una cuenta de GitHub y cambió el comportamiento de la aplicación por completo. El actor de amenazas creó una nueva cuenta de usuario de desarrollador y un repositorio de GitHub para cada una de las aplicaciones armadas para que pudieran distribuir diferentes cargas útiles a los dispositivos que fueron infectados por las aplicaciones.

Test Level describió la segunda etapa de AlienBot como malware como servicio para dispositivos Android. El malware está diseñado para inyectar código malicioso en aplicaciones bancarias y financieras para que los atacantes controlen la cuenta. Entre sus capacidades se encuentra una función para eludir la autenticación de dos factores interceptando y robando mensajes SMS. Mientras tanto, MRAT es un malware que Clast82 descarga al mismo tiempo que AlienBot y que permite a un adversario remoto obtener el mismo tipo de handle sobre un dispositivo móvil que tendría un usuario que realmente lo tenga.

Problema continuo
El reciente descubrimiento de Check Point es el último recordatorio de cómo los actores de amenazas continúan encontrando formas de cargar program malicioso en la tienda oficial de aplicaciones móviles de Google y, en un grado relativamente menor, también en Apple. Solo el mes pasado, los investigadores de Malwarebytes informaron sobre cómo los atacantes habían logrado insertar código malicioso en una nueva versión de una aplicación muy well known en Play llamada Barcode Scanner. Posteriormente, se cree que millones de usuarios instalaron la versión maliciosa.

En los últimos años, tanto Google como Apple, los principales actores en el espacio móvil, han implementado numerosos mecanismos para examinar las aplicaciones antes de permitirlas en sus tiendas de aplicaciones oficiales. En 2019, Google anunció un Alianza con ESET, Zimperium y Lookout, bajo el cual los tres proveedores de seguridad están trabajando con Google para identificar aplicaciones maliciosas y potencialmente dañinas antes de que se publiquen en la tienda de aplicaciones de Engage in. Engage in Safeguard de Google, disponible de forma predeterminada en todos los dispositivos Android desde 2017, es un mecanismo diseñado para ayudar a los usuarios móviles al escanear las aplicaciones que descargan de Engage in en busca de malware y otros comportamientos potencialmente dañinos.

«Google está comprometido con la lucha contra el malware en su tienda», dice Hazum. «Pero como puede demostrar la (última) campaña, no es suficiente».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first