Los investigadores de seguridad del equipo Mobile Threat de CheckPoint han descubierto una nueva campaña de adware en la plataforma Google Play Store. El malware, llamado SimBad, fue encontrado en más de 200 aplicaciones del market y ha recibido casi 150 millones de descargas entre todas ellas.
Al parecer sería el SDK o kit de desarrollo de software RXDrioder, proporcionado por addroider[.]comcomo un SDK relacionado con anuncios, el que incorporaría el código malicioso a las aplicaciones desarrolladas con él. De este modo ha logrado estar presente en un gran número de aplicaciones de diferentes desarrolladores, los cuales habrían sido engañados y desconocían que sus creaciones incluirían algún comportamiento malicioso.
Una vez instalada una de estas aplicaciones, SimBad se conecta al servidor de Comando y Control (C&C) desde el que recibe instrucciones. Entre sus funcionalidades se encuentran la de eliminar el ícono del lanzador (dificultando su desinstalación por parte del usuario), mostrar anuncios de fondo (fuera de la aplicación), abrir un navegador con una URL determinada (facilitando ataques de phishing), o abrir las aplicaciones de markets como Google Play o 9Apps para mostrar búsquedas por palabras clave específicas o la página concreta de una app, e incluso realizar descargas de nuevas apps desde un servidor remoto.
Vector de ataque de SimBad. Fuente: checkpoint.com
Google ha eliminado de su tienda todas las aplicaciones afectadas tras recibir el aviso. Sin embargo es posible que estas aplicaciones maliciosas se encuentren disponibles en otros markets.
Se recomienda consultar el listado de las aplicaciones afectadas, gran parte de ellas juegos de simulación, que está disponible en el reporte de CheckPoint.
Más información:
SimBad: A Rogue Adware Campaign On Google Play
https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/
Fuente: Segurmática.