El malware de Android infectó a más de 300.000 dispositivos con troyanos bancarios

Las aplicaciones iniciales en Google Play eran seguras, pero los creadores encontraron una forma de evitar las protecciones de Play Store para instalar malware en los dispositivos de los usuarios de Android. Así es como sucedió y cómo mantenerse a salvo.

Imagen: marchmeena29, Getty Images / iStockphoto

Un informe de noviembre de ThreatFabric reveló que más de 300.000 usuarios de Android descargaron, sin saberlo, malware con capacidades de troyano bancario, y que eludió las restricciones de Google Play Store.

Los ciberdelincuentes desarrollaron un método para infectar con éxito a los usuarios de Android con diferentes troyanos bancarios, que están diseñados para obtener acceso a las credenciales de las cuentas de los usuarios. El primer paso fue enviar aplicaciones a Google Play Store que casi no tenían huella maliciosa y que en realidad parecían aplicaciones funcionales y útiles, como escáneres de códigos QR, escáneres de PDF, aplicaciones relacionadas con criptomonedas o aplicaciones relacionadas con el fitness.

Una vez lanzadas, estas aplicaciones pidieron al usuario que hiciera una actualización, que se descargó fuera de Google Play Store (técnica de descarga lateral) e instaló el contenido malicioso en el dispositivo Android.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

Entonces, aunque la aplicación inicial no contenía nada malicioso, proporcionó una forma de instalar el contenido malicioso después de que se realizó la instalación, haciéndolo completamente invisible para Google Play Store.

Los atacantes tuvieron el cuidado de enviar una versión inicial de sus aplicaciones, que no contenía ninguna funcionalidad de descarga o instalación, y luego actualizaron las aplicaciones en Google Play Store con más permisos, permitiendo la descarga e instalación del malware. También han establecido restricciones mediante el uso de mecanismos para garantizar que la carga útil solo se instale en los dispositivos de las víctimas reales y no en los entornos de prueba, lo que hace que sea aún más difícil de detectar.

ThreatFabric descubrió cuatro familias de troyanos bancarios diferentes: Anatsa, Alien, Hydra y Ermac, siendo Anatsa la más extendida.

La seguridad de Google Play Store

Google Play es el principal repositorio de aplicaciones de Android y cualquier desarrollador puede enviar su propia aplicación a Play Store. La aplicación enviada luego pasará por un proceso de revisión de la aplicación para asegurarse de que no sea maliciosa y no infrinja ninguna de las políticas del desarrollador.

VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (TechRepublic Premium)

Estas políticas implican principalmente garantizar que el contenido de la aplicación sea apropiado, que no suplante ni copie a otras aplicaciones o personas, que cumpla con las políticas de monetización y proporcione una funcionalidad mínima (no debe fallar todo el tiempo y debe respetar la experiencia del usuario).

Por el lado de la seguridad, las aplicaciones enviadas, por supuesto, no deben ser maliciosas: no deben poner en riesgo a un usuario o sus datos, comprometer la integridad del dispositivo, ganar control sobre el dispositivo, permitir operaciones de control remoto para que un atacante acceda, usar o explotar un dispositivo, transmitir cualquier dato personal sin la divulgación y el consentimiento adecuados, o enviar spam o comandos a otros dispositivos o servidores.

El proceso de Google para examinar las solicitudes enviadas también incluye verificaciones de permisos. Algunos permisos o API, considerados confidenciales, necesitan que el desarrollador presente solicitudes de autorización especiales y que Google las revise para asegurarse de que la aplicación realmente las necesite.

Malware y PUA en Google Play Store

Si bien es muy consciente y está implementando constantemente nuevos métodos para abordar el malware, Google Play Store aún puede pasarse por alto en casos excepcionales. Todo el proceso de revisión aplicado a las presentaciones de aplicaciones para Google Play Store hace que sea realmente difícil para los ciberdelincuentes propagar malware a través de la plataforma, aunque desafortunadamente todavía es posible.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

Un estudio publicado en noviembre de 2020 por NortonLifeLock Research Group reveló que entre 34 millones de APK distribuidos en 12 millones de dispositivos Android, entre el 10% y el 24% podrían describirse como aplicaciones maliciosas o potencialmente no deseadas, según las diferentes clasificaciones. De esas aplicaciones, el 67% se instalaron desde Google Play Store. Los investigadores mencionan que «el mercado de Play es el principal vector de distribución de aplicaciones responsable del 87% de todas las instalaciones y el 67% de las instalaciones no deseadas. Sin embargo, su tasa de detección de vectores es de solo 0,6%, lo que demuestra que las defensas del mercado de Play contra aplicaciones no deseadas funcionan». pero aún una gran cantidad de aplicaciones no deseadas pueden eludirlas, lo que lo convierte en el principal vector de distribución de aplicaciones no deseadas. Al final, es más probable que los usuarios instalen malware descargándolo de páginas web a través de los navegadores de sus dispositivos o de mercados alternativos.

Cómo proteger su dispositivo Android del malware

Con unos pocos pasos, es posible reducir significativamente el riesgo de que un dispositivo Android se vea comprometido.

Evite las tiendas desconocidas. Las tiendas desconocidas normalmente no tienen procesos de detección de malware, a diferencia de Google Play Store. No instale software en su dispositivo Android que provenga de fuentes no confiables.Verifique cuidadosamente los permisos solicitados al instalar una aplicación. Las aplicaciones solo deben solicitar permisos para las API necesarias. Un escáner de código QR no debería pedir permiso para enviar SMS, por ejemplo. Antes de instalar una aplicación de Google Play Store, desplácese hacia abajo en la descripción de la aplicación y haga clic en Permisos de la aplicación para verificar lo que solicita.La solicitud inmediata de actualización después de la instalación es sospechosa. Se supone que una aplicación que se descarga de Play Store es la última versión de la misma. Si la aplicación solicita permiso de actualización en la primera ejecución, inmediatamente después de su instalación, es sospechosa.Consulta el contexto de la aplicación. ¿Es la aplicación la primera de un desarrollador? ¿Tiene muy pocas reseñas, quizás solo reseñas de cinco estrellas?Utilice aplicaciones de seguridad en su dispositivo Android. Deben instalarse aplicaciones de seguridad completas en su dispositivo para protegerlo.

Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Ver también