El sigiloso troyano Android absorbe millones con SMS high quality



Un rastreador de frecuencia cardíaca y pulso. Un traductor de chat. Un simulador de limo. Y un «defensor» de huellas dactilares. Utilizando más de 200 aplicaciones de bajo perfil, un grupo de ciberdelincuentes creó una plataforma para entregar contenido fraudulento y desvió decenas de millones de dólares de las víctimas, afirma la firma de seguridad móvil Zimperium en un nuevo análisis.

La plataforma, que la compañía denominó «GriftHorse», consta de aplicaciones de Android sin pretensiones, la más preferred de las cuales tuvo menos de 1 millón de descargas la mayoría tenía muchos menos. Cuando se instalan, estas aplicaciones inundarían al usuario con cinco alertas emergentes cada hora, notificándoles que ganaron un regalo gratis. Al hacer clic en la ventana emergente, se accede a una página que solicita el número de teléfono del usuario. Si la víctima ingresa su número, el servidor GriftHorse los registra automáticamente para varios servicios de texto SMS quality.

Las aplicaciones discretas lograron pasar desapercibidas y evitar la detección de antivirus, dice Richard Melick, director de estrategia de productos para seguridad de terminales en Zimperium.

«La aplicación en sí misma es oscuramente aburrida, pero hay muchas», dice. «No son malware en la superficie. En su lugar, en realidad están ingresando contenido internet en un navegador, esencialmente, y evitando mucha seguridad».

La operación GriftHorse ha tenido un éxito fenomenal. Las aplicaciones troyanas se instalan en entre 4 millones y 17 millones de dispositivos, se han dirigido a usuarios en más de 70 países y probablemente generaron entre € 1,2 millones y € 3,5 millones (USD $ 1,4 millones a USD $ 4,1 millones) cada mes, afirman los investigadores de Zimperium en su análisis. La campaña ha estado activa desde noviembre de 2020.

El éxito de la operación está en sus programas discretos que no activaron notificaciones de las herramientas antivirus o Google Participate in Safeguard, el servicio que escanea las aplicaciones antes de que los usuarios las descarguen. Las aplicaciones del caballo de Troya inicialmente no tenían código malicioso, sino que descargaban las capacidades después de la instalación, lo que dificultaba determinar su verdadero propósito.

«Estos ciberdelincuentes tuvieron mucho cuidado de no ser atrapados por investigadores de malware al evitar codificar URL o reutilizar los mismos dominios y filtrar [or] sirviendo la carga útil maliciosa en función de la geolocalización de la dirección IP de origen «, los investigadores de Zimperium estado en el análisis. «En typical, el troyano Android GriftHorse aprovecha las pantallas pequeñas, la confianza nearby y la información errónea para engañar a los usuarios para que descarguen e instalen estos troyanos Android, así como la frustración o la curiosidad al aceptar el premio falso gratuito enviado como spam a sus pantallas de notificación».

Casi la mitad de las aplicaciones (48%) se clasifican como herramientas, mientras que el 13% son entretenimiento. Las aplicaciones de estilo de vida y personalización representan cada una un 6%. El resto de las aplicaciones de Android se distribuyen en otras 15 categorías. Google eliminó las aplicaciones después de que Zimperium le notificara la estafa, dijo la firma de seguridad.

Además de escabullirse de las defensas antivirus, la operación tuvo éxito por otras dos razones. En primer lugar, las molestas ventanas emergentes pueden hacer que el esquema sea obvio para algunos usuarios, pero otros, que se utilizan para la publicidad emergente, son víctimas del ataque.

«Los usuarios solo quieren hacer clic [on the ad] y hacer que desaparezca «, dice Melick.» Aprovecha el compromiso del usuario con su teléfono «.

En segundo lugar, en la mayoría de los casos, las suscripciones a SMS quality no vienen con una notificación y, a menudo, pueden ocultarse en las facturas. Los consumidores atentos tienen la ventaja de que pueden reconocer un aumento en su factura mensual. Sin embargo, es posible que las empresas no noten una factura más alta si solo los teléfonos de unos pocos empleados se ven comprometidos, dice Melick.

«Están administrando cientos de teléfonos en una sola factura, así que … esto es un mistake de redondeo para ellos», dice. «Las organizaciones podrían estar perdiendo dinero todos los meses porque no se dan cuenta de que se está produciendo este cargo».

El exitoso esquema también destaca la vulnerabilidad del servicio de décadas de antigüedad para cobrar por mensajes SMS quality, que es un vehículo perfecto para el fraude, dice Melick. Por lo standard, no hay un aviso continuo de un cargo inminente, por lo que es posible que los usuarios no sepan que están pagando por un servicio «top quality» hasta que detecten el cargo en su factura.

«Los SMS quality son una reliquia de antes de Google Perform Keep y antes de Apple Application Retail store ya no hay razón para que exista», dice. «Si desea brindar un servicio legítimo, no lo hará a través de SMS high quality. No puedo pensar en una razón honesta: debería retirarse al cementerio de la tecnología antigua».



Enlace a la noticia initial