Imagen: iStockphoto/solarseven

Un informe de noviembre de ThreatFabric encontró que más de 300 000 usuarios de Android descargaron sin saberlo malware con capacidades de troyanos bancarios y eludieron las restricciones de Google Play Store.

Los ciberdelincuentes han desarrollado un método para infectar con éxito a los usuarios de Android con varios troyanos bancarios, que están diseñados para acceder a las credenciales de las cuentas de los usuarios. El primer paso fue enviar aplicaciones a Google Play Store que casi no tenían huellas maliciosas y que en realidad parecían aplicaciones funcionales y útiles, como escáneres de códigos QR, escáneres de PDF, aplicaciones relacionadas con criptografía -divisas o aplicaciones relacionadas con el estado físico.

Una vez lanzadas, estas aplicaciones le pedirían al usuario una actualización, que se descargaría fuera de Google Play Store (técnica de carga lateral) e instalaría el contenido malicioso en el dispositivo Android.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Entonces, si bien la aplicación inicial no contenía nada malicioso, ofrecía una forma de instalar el contenido malicioso una vez que se completaba la instalación, haciéndolo completamente invisible para Google Play Store.

Los atacantes tuvieron cuidado de enviar una versión inicial de sus aplicaciones, que no contenía ninguna funcionalidad de descarga o instalación, y luego actualizaron las aplicaciones en Google Play Store con más permisos, lo que permitió la descarga e instalación de malware. También establecieron restricciones utilizando mecanismos para garantizar que la carga útil solo se instalara en los dispositivos de las víctimas reales y no en los entornos de prueba, lo que dificulta aún más su detección.

ThreatFabric descubrió cuatro familias de troyanos bancarios diferentes: Anatsa, Alien, Hydra y Ermac, siendo Anatsa la más común.

Índice
  • Seguridad de la tienda Google Play
  • Malware y PUAs en Google Play Store
  • Cómo proteger su dispositivo Android de malware
  • Seguridad de la tienda Google Play

    Google Play es el repositorio principal de aplicaciones de Android y cualquier desarrollador puede enviar su propia aplicación a Play Store. La aplicación enviada luego pasará por un proceso de revisión de la aplicación para garantizar que no sea maliciosa y que no viole ninguna de las políticas del desarrollador.

    VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (Premium de TechRepublic)

    Estas políticas implican principalmente asegurarse de que el contenido de la aplicación sea apropiado, no suplante a otras aplicaciones o personas ni copie a otras aplicaciones o personas, cumpla con las políticas de monetización y proporcione una funcionalidad mínima (no debería fallar todo el tiempo y debería respetar al usuario). experiencia).

    Por el lado de la seguridad, las aplicaciones enviadas, por supuesto, no deben ser maliciosas: no deben poner en peligro a un usuario o sus datos, comprometer la integridad del dispositivo, tomar el control del dispositivo, permitir que un atacante acceda a operaciones controladas de forma remota, usar u operar un dispositivo, transmitir datos personales sin la debida divulgación y consentimiento, o enviar spam o comandos a otros dispositivos o servidores.

    El proceso de revisión de aplicaciones de Google también incluye verificaciones de permisos. Algunos permisos o API, considerados confidenciales, requieren que el desarrollador presente solicitudes de permisos especiales y que Google las revise para asegurarse de que la aplicación realmente las necesita.

    Malware y PUAs en Google Play Store

    Si bien es muy consciente y despliega activamente métodos nuevos y constantes para combatir el malware, Google Play Store aún se puede pasar por alto en casos excepcionales. Todo el proceso de revisión aplicado a los envíos de aplicaciones para Google Play Store hace que sea muy difícil para los ciberdelincuentes propagar malware a través de la plataforma, aunque lamentablemente esto todavía es posible.

    VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

    Un estudio publicado en noviembre de 2020 por NortonLifeLock Research Group encontró que entre 34 millones de APK repartidos en 12 millones de dispositivos Android, entre el 10% y el 24% de ellos podrían describirse como aplicaciones maliciosas o potencialmente no deseadas, según diferentes clasificaciones. De estas aplicaciones, el 67% se instalaron desde Google Play Store. Los investigadores mencionan que “Play Marketplace es el principal vehículo de distribución de aplicaciones responsable del 87 % de todas las instalaciones y del 67 % de las instalaciones no deseadas. Sin embargo, su tasa de detección de vectores es solo del 0,6%, lo que muestra que las defensas de Play Market contra las aplicaciones no deseadas están funcionando, pero una cantidad significativa de aplicaciones no deseadas aún pueden eludirlas, lo que lo convierte en el principal vector de distribución de aplicaciones no deseadas. En última instancia, es más probable que los usuarios instalen malware descargándolo de páginas web a través de los navegadores de sus dispositivos o de mercados alternativos.

    Cómo proteger su dispositivo Android de malware

    Con solo unos pocos pasos, el riesgo de que un dispositivo Android se vea comprometido puede reducirse considerablemente.

    • Evite las tiendas desconocidas. Las tiendas desconocidas generalmente no tienen un proceso de detección de malware, a diferencia de Google Play Store. No instale software en su dispositivo Android de fuentes no confiables.
    • Verifique cuidadosamente los permisos solicitados al instalar una aplicación. Las aplicaciones solo deben solicitar permisos para las API necesarias. Un lector de códigos QR no debe pedir permiso para enviar SMS, por ejemplo. Antes de instalar una aplicación de Google Play Store, desplácese hacia abajo en la descripción de la aplicación y haga clic en Permisos de la aplicación para verificar lo que solicita.
    • Solicitar una actualización inmediata después de la instalación es sospechoso. Se cree que una aplicación descargada de Play Store es la última versión. Si la aplicación solicita permiso de actualización en la primera ejecución, inmediatamente después de la instalación, es sospechosa.
    • Compruebe el contexto de la aplicación. ¿La aplicación es la primera de un desarrollador? ¿Tiene muy pocas reseñas, tal vez solo reseñas de cinco estrellas?
    • Use aplicaciones de seguridad en su dispositivo Android. Se deben instalar aplicaciones de seguridad integrales en su dispositivo para protegerlo.

    Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.