El fabricante de software antivirus ESET descubrió otras ocho aplicaciones cargadas de malware en la tienda Google Play.

Este es el último de una serie de malware en la tienda oficial de aplicaciones de Android que parece continuar sin cesar a pesar de la introducción de Google Play Protect, cuyo objetivo es evitar que se publique malware en la tienda.

Lo que tienen en común los últimos ataques es que todos eludieron Google Play Protect de la misma manera, utilizando un ataque de varias etapas. El malware de varias etapas se puede disfrazar de cualquier cosa, no contener ningún código malicioso real y puede ser responsable de cualquier tipo de infección que deseen sus desarrolladores.

En resumen, es peligroso e invisible.

Índice

La invisibilidad de los ataques en varias etapas

Las ocho aplicaciones de eliminación de malware descubiertas por ESET tenían el mismo diseño de varios pasos que evita levantar sospechas al no contener código malicioso.

Lo que contienen son múltiples capas de cargas útiles cifradas que terminan descargando malware de un sitio web codificado en las cargas útiles. En el caso del último descubrimiento, el objetivo final es instalar Android/TrojanDropper.Agent.BKY en el dispositivo comprometido.

Cuando la aplicación se instala inicialmente desde Google Play, ni siquiera solicita permisos sospechosos. Todo su nefasto trabajo se realiza de forma invisible en segundo plano mientras descifra y ejecuta su primera carga útil, que a su vez descifra y ejecuta la segunda.

VER: Nuevo malware de Android detectado cada 10 segundos, dice el informe (TechRepublic)

La carga útil de la segunda etapa llega al sitio web que aloja el malware y descarga la carga útil de la tercera etapa. Es en este punto que el malware solicita al usuario que acepte una instalación de lo que parece ser una actualización benigna, ya sea para Flash Player, algo relacionado con Adobe o incluso una actualización del sistema Android.

Si en este punto el usuario cuestiona la instalación, todo el proceso se puede detener sin más daños: los ataques de Android de varias etapas literalmente le piden que instale malware.

Si se acepta la solicitud de instalación, la tercera carga útil descifra y ejecuta su contenido: el malware real.

¿Una muestra de lo que vendrá?

Las ocho aplicaciones maliciosas descubiertas por ESET arrojaron un troyano bancario que mostraba páginas de inicio de sesión falsas en los dispositivos infectados, pero este es solo un ejemplo de cómo los ataques de varios pasos podrían poner en riesgo a los usuarios de Android y la mayoría de los demás.

El malware de varias etapas podría usarse para colocar ransomware, keyloggers, rootkits, básicamente cualquier cosa que pueda enviarse a un dispositivo.

VER: El paquete de ciberseguridad de cuatro volúmenes (Academia TechRepublic)

Google Play Protect está diseñado para evitar que el malware llegue a los usuarios de Android, pero los ataques recientes han demostrado que no está diseñado para detectar cargas útiles de varias etapas. Hasta que Google encuentre una manera de detectar estas aplicaciones, los usuarios corren el riesgo de instalar cualquier cosa que no sea de un desarrollador conocido y de buena reputación.

Dicho esto, proteger su dispositivo Android de ataques de varios pasos, ya que no puede confiar en Google Play Protect para hacerlo, se puede mejorar de las siguientes maneras:

  • Lea siempre las solicitudes de permiso de una aplicación y no las otorgue si parecen sospechosas. Nunca conceda permisos a una aplicación que no reconozca.
  • Instale una aplicación antivirus en su dispositivo para asegurarse de que una aplicación de ataque en varias etapas no descargue malware en segundo plano.
  • Nunca instales aplicaciones fuera de Google Play. Play Protect puede no ser perfecto, pero aun así mantiene su dispositivo más seguro que las tiendas o sitios web de terceros.
  • Cambie la configuración de DNS de su red Wi-Fi o dispositivo Android para que apunte a Quad9, un DNS gratuito de IBM Security que filtra todas las direcciones IP malas conocidas. Esto puede evitar que se complete un ataque de varias etapas al bloquear el sitio desde el que la aplicación intenta descargar su tercera carga útil.

Los tres puntos principales para los lectores de TechRepublic:

  1. El fabricante de software antivirus ESET ha descubierto ocho nuevas aplicaciones maliciosas ocultas en Google Play. Pasaron por alto Play Protect al ser aplicaciones de ataque de varias etapas que descargan cargas maliciosas de la web.
  2. El malware multietapa deriva su ataque real de Internet y requiere permiso del usuario para instalarse. Estos ataques suelen hacerse pasar por actualizaciones del sistema de Adobe o Android.
  3. Google Play Protect no detecta ataques en varias etapas; este es solo el último de una larga lista. Proteja su dispositivo instalando software antivirus, prestando atención a las solicitudes de permisos de aplicaciones y descargando solo aplicaciones de desarrolladores conocidos y confiables.

Ver también:

  • El malware de Android eludió la seguridad de Google Play Store y podría haber infectado 4,2 millones de dispositivos (TechRepublic)
  • Seguridad de Android: Malware furtivo de tres pasos encontrado en Google Play Store (ZDNET)
  • ¿Qué tienen en común macOS y Android? Ambos son mercados de malware en auge (TechRepublic)
  • Triple golpe para la seguridad de Android: un nuevo ataque combina phishing, malware y robo de datos (ZDNET)
  • Investigación: defensas, planes de respuesta y las mayores preocupaciones sobre la ciberseguridad en un mundo móvil y de IoT (Tech Pro Research)