Una serie de aplicaciones fraudulentas arrasaron la tienda Google Play, dirigidas a usuarios de Android, descargando más de 700.000 antes de que McAfee Mobile Research las encontrara y se coordinara con Google para eliminarlas.
El malware está integrado en editores de fotos, fondos de pantalla, rompecabezas, máscaras de teclado y otras aplicaciones. Los programas maliciosos interceptan las notificaciones por SMS y luego realizan compras no autorizadas.
Las aplicaciones legítimas pasan por un proceso de verificación antes de ingresar a Google Play, mientras que las aplicaciones fraudulentas se revisan enviando una versión “limpia” de la aplicación a la tienda y se inyecta código malicioso en la aplicación después de la actualización.
El malware incrustado en aplicaciones de Google Play utiliza la carga de código dinámico.
google,2021
McAfee Mobile Security ha identificado esta amenaza como Android / Etinu y advierte a los usuarios móviles que existen amenazas al usar esta aplicación. El equipo continuará investigando esta amenaza y trabajará con Google para eliminar estas y otras aplicaciones maliciosas de Google Play.
¿Cómo funciona?
El malware incrustado en estas aplicaciones utiliza la carga de código dinámico. Los datos de malware cifrados aparecen en la carpeta asociada con la aplicación, con el nombre “cache.bin”, “settings.bin”, “data.droid” o un archivo “.png” inofensivo. El código malicioso oculto en la aplicación .apk principal abrirá el archivo “1.png” en la carpeta de activos, lo descifrará en “loader.dex” y cargará el .dex modificado. Cifre “1.png” usando RC4 con el nombre del paquete como clave.
La primera carga útil crea una solicitud HTTP POST al servidor C2. Curiosamente, el malware utiliza un servidor de administración de claves. Se la pide al servidor y el servidor devuelve la clave como un valor JSON “s”. Además, el malware también tiene una función de actualización automática. Cuando el servidor responde con “URL”, se utilizará el contenido de la misma en lugar de “2.png”.
Sin embargo, el servidor no siempre responde a las solicitudes o devuelve claves. Como siempre, la característica más maliciosa aparece en la etapa final. El malware secuestró a un oyente de notificaciones para robar mensajes SMS entrantes como el malware Android Joker, sin permiso para leerlo. Como cadena, el malware luego pasa el objeto de notificación a la etapa final. Cuando la notificación proviene del paquete SMS predeterminado, el mensaje se enviará finalmente mediante la interfaz JavaScript WebView.
Los investigadores concluyeron que los estafadores pueden obtener información sobre el operador de comunicación del usuario, número de teléfono, mensaje SMS, dirección IP, país / región, etc. Los expertos predicen que las amenazas que utilizan la escucha clandestina de notificaciones seguirán evolucionando.
El equipo de McAfee Mobile Research seguirá analizando estas amenazas y protegiendo a los clientes analizando el malware potencial y cooperando con las tiendas de aplicaciones para eliminarlas. Sin embargo, es importante prestar especial atención a las aplicaciones que solicitan permisos relacionados con SMS y escuchan notificaciones. Las aplicaciones reales de edición de fotos o fondos de pantalla no las necesitarán en absoluto porque no son necesarias para ejecutarlas. Si la solicitud parece sospechosa, no la acepte.