Imagen: Getty Images/iStockphoto/Kirill_Savenko

Los usuarios móviles que descargan una aplicación antivirus naturalmente esperan que el programa proteja su dispositivo. Pero varias aplicaciones de Android analizadas por Check Point Research hicieron exactamente lo contrario. En un informe del jueves, el proveedor de inteligencia de amenazas cibernéticas detalló su descubrimiento de seis aplicaciones en Google Play que parecían ser software antivirus, pero en realidad intentaron instalar malware capaz de robar credenciales y datos financieros.

Disfrazadas como productos antivirus reales, las aplicaciones en cuestión contenían una carga letal llamada Sharkbot. Además de intentar robar información confidencial, esta marca de malware intenta evadir la detección utilizando varias técnicas de evasión. En particular, aprovecha una táctica conocida como algoritmo de generación de dominio. En este escenario, los ciberdelincuentes crean continuamente nuevos nombres de dominio y direcciones IP para sus servidores de comando y control, lo que dificulta que las autoridades corten la conexión entre los atacantes y las máquinas infectadas.

Aplicaciones maliciosas que se hacen pasar por programas antivirus en Google Play Store.
Imagen: Búsqueda de puntos de control

Sharkbot funciona solicitando a sus víctimas que ingresen las credenciales de la cuenta en ventanas que parecen formularios de entrada legítimos. Todos los nombres de usuario y contraseñas ingresados ​​de esta manera se envían a un servidor malicioso donde los atacantes pueden usarlos directamente para comprometer la cuenta o venderlos en la Dark Web. El malware también intenta engañar a los usuarios para que otorguen permiso al servicio de accesibilidad, lo que le permite controlar el dispositivo. Desde allí, los atacantes pueden enviar notificaciones que contengan enlaces maliciosos.

Después de descubrir las aplicaciones maliciosas, Check Point notificó a Google, que las eliminó de su tienda de aplicaciones. Cuatro de las aplicaciones eran de tres cuentas de desarrollador, dos de las cuales estaban activas a partir del otoño de 2021. A pesar de la eliminación de Google Play, algunas aplicaciones vinculadas a estas cuentas siguen estando disponibles en tiendas de aplicaciones no oficiales, una señal de que el atacante puede intentar permanecer bajo el radar, pero aún atrapan a las víctimas potenciales.

VER: Principales consejos de seguridad de Android (PDF gratuito) (TechRepublic)

Check Point ha detectado más de 15.000 descargas de aplicaciones maliciosas, principalmente en el Reino Unido e Italia. Pero al utilizar una función de geovalla para determinar la ubicación de la víctima, las aplicaciones ignoraron deliberadamente objetivos en China, India, Rumania, Rusia, Ucrania y Bielorrusia.

"El actor de amenazas eligió estratégicamente una ubicación de la aplicación en Google Play en la que los usuarios confían", dijo Alexander Chailytko, jefe de investigación e innovación de Check Point Software, en un comunicado de prensa. . "Lo que también es notable aquí es que los actores de amenazas envían mensajes a las víctimas que contienen enlaces maliciosos, lo que lleva a una adopción generalizada. En general, el uso de mensajes push por parte de los actores de amenazas. La amenaza que pide una respuesta a los usuarios es una técnica de propagación inusual. Creo que es importante para Que todos los usuarios de Android sepan que deben pensarlo dos veces antes de descargar una solución antivirus de la Play Store, que podría ser Sharkbot.

Para ayudar a proteger a las personas y las organizaciones contra este tipo de aplicaciones maliciosas, Check Point brinda orientación:

  • Instale aplicaciones móviles solo de editores y tiendas de aplicaciones legítimas y confiables.
  • Si encuentra una aplicación interesante de un editor nuevo o desconocido, busque aplicaciones similares de editores más conocidos y confiables.
  • Informe cualquier aplicación sospechosa a Google.