Las aplicaciones de Google Play con 500,000 descargas suscriben a los usuarios a servicios caros


  Las aplicaciones de Google Play con 500,000 descargas suscriben a los usuarios a servicios caros.

Los hackers y Google Play han estado involucrados en un baile tenso durante los últimos diez años. Los piratas informáticos introducen malware en el repositorio de aplicaciones de Android de Google. Google lo tira y desarrolla mecanismos de defensa para evitar que vuelva a suceder. Luego, los hackers encuentran una nueva apertura y lo vuelven a hacer. Este paso de dos pasos ha sucedido nuevamente, esta vez con una familia de malware llamada Joker en la que Play se ha infiltrado desde al menos 2017.

El comodín es un código malicioso que acecha en aplicaciones aparentemente legítimas. A menudo lleva horas o días después de instalar la aplicación para evitar la detección automática de malware de Google. El jueves, investigadores de la firma de seguridad Check Point dijeron que el comodín había vuelto a atacar, esta vez en 11 aplicaciones aparentemente legítimas que se descargaron aproximadamente 500,000 veces desde Play. Una vez activado, el malware permitió que las aplicaciones se suscribieran en secreto a costosos servicios premium para los usuarios.

La nueva variante encontró un nuevo truco que no se detectó: ocultó su carga maliciosa en el llamado manifiesto, un archivo que Google necesita de cada aplicación para incluir en su directorio raíz. Google pretende que el archivo XML sea más transparente al facilitar la búsqueda de permisos, íconos y otra información sobre la aplicación.

Los desarrolladores de Joker han encontrado una manera de utilizar el manifiesto en su beneficio. Sus aplicaciones contenían código inofensivo para cosas legítimas como enviar SMS o mostrar imágenes en las partes esperadas del archivo de instalación. Luego ocultaron el código malicioso en los metadatos del manifiesto.

Los desarrolladores agregaron dos niveles más de sigilo. Primero, el código malicioso se almacenó en cadenas básicas codificadas con 64 que no pueden ser leídas por humanos. En segundo lugar, la carga maliciosa permanecería inactiva mientras Google evaluaba las aplicaciones. El código comodín solo se carga y ejecuta después de que la aplicación ha sido aprobada. Google eliminó las aplicaciones después de que Check Point las informara.

En enero, Google publicó una descripción detallada de Pan, el nombre alternativo para el bromista, que describe las muchas formas de evitar la defensa. La publicación decía que Play Protect, el servicio de escaneo automático de Google, reconoció 1.700 aplicaciones únicas y las eliminó de Play Store antes de que se descargaran. El descubrimiento de Checkpoint de un nuevo conjunto de aplicaciones descargadas medio millón de veces subraya las limitaciones de Play Protect.

"Nuestros últimos hallazgos muestran que proteger Google Play Store es insuficiente", escribió un correo electrónico Aviran Hazum, gerente de investigación móvil en Check Point. “Vimos numerosos casos de subidas de comodín a Google Play todas las semanas, todos los cuales fueron descargados por usuarios desprevenidos. El malware Joker es difícil de detectar, aunque Google ha invertido en agregar protección Play Store. Aunque Google ha eliminado las aplicaciones maliciosas de Play Store, podemos suponer que Joker se adaptará nuevamente. "

Para evitar la detección, las variantes de comodín anteriores a menudo accedían a la carga maliciosa, en forma de un archivo Dex cargado dinámicamente, a través de un servidor de comando y control después de que la aplicación ya se había instalado. A medida que las defensas de Google mejoraron, este método se volvió menos efectivo. La solución de los desarrolladores fue guardar el archivo dex, en forma de cadenas de base 64, en el manifiesto. Para activarse, la carga útil solo tenía que ser confirmada por el servidor de control de que la campaña estaba activa. Check Point también encontró otra variante comodín que ocultaba las 64 cadenas base en una clase interna de la aplicación principal.

Las 11 aplicaciones de Check Point encontradas son:

  • com.imagecompress.android
  • com.contact.withme. Textos
  • com.hmvoice.friendsms
  • com.relax.relaxation.androidsms
  • com.cheery.message.sendsms
  • com.cheery.message.sendsms
  • com.peason.lovinglovemessage
  • com.file.recovefiles
  • com.LPlocker.lockapps
  • com.remindme.alram
  • com.training.memorygame

Cualquier persona con una de estas aplicaciones instaladas debe verificar su facturación por tarifas no reconocidas .

La mayoría de los lectores ahora están familiarizados con las instrucciones de seguridad para las aplicaciones de Android. Lo más importante es que los usuarios instalen aplicaciones con moderación y solo si ofrecen un beneficio real o si son realmente necesarias. Si es posible, los usuarios deberían preferir aplicaciones de desarrolladores conocidos, o al menos aquellos con sitios web o algún otro historial que indique que no es un vuelo nocturno. Los usuarios deben verificar periódicamente qué aplicaciones están instaladas y eliminar las aplicaciones que ya no se usan.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *