Noticias reciente publicadas en las redes dan cuenta que se han detectado en más de un centenar de apps de Google Play códigos malignos ocultos en kits de desarrollo que se encuentran alojados allí. Si bien Google anunció que había eliminado esta aplicaciones queda en el aire la duda sobre si no pudiera haber quedado alguna o si en el futuro pudiera reproducirse el problema.Para mas información reproducimos dos artículos aparecidos sobre la temática.
Más de 50 apps de Google Play infectadas con un nuevo malware
Viernes, Septiembre 15, 2017 – 08:33
Un equipo de investigadores de la firma de seguridad Check Point ha descubierto una nueva variante de un malware para Android oculta en al menos 50 aplicaciones de Google Play. En total, el grupo de apps infectadas se ha descargado entre uno y 4,2 de veces y, aunque Google las eliminó en un primer momento de la tienda oficial, a los pocos días aparecieron nuevas aplicaciones de la misma familia maliciosa que infectaron otros 5.000 dispositivos más.
De acuerdo con el informe de Check Point, el nuevo virus se llama ExpensiveWall y se trata de una variante que fue descubierta a principios de año en Google Play, hallada en la aplicación Lovely Wallpaper. Toda la familia de malware ha sido descargada entre 5,9 y 21,1 millones de veces. A diferencia de otros miembros de su familia, ExpensiveWall integra una técnica de ofuscación avanzada que permite cifrar el código malicioso para burlar los sistema de protección de Google.
Al realizar la instalación, las app infectadas solicitan permiso de acceso a los SMS, un detalle que más tarde les permite perpetrar el ataque. Y es que, una vez que el malware ha infectado el terminal, lo que hace es registrar a las víctimas de manera clandestina en servicios SMS premium, lo que supone el cobro de cargos adicionales en la factura de las personas afectadas.
No obstante, la cosa podría no quedar ahí, ya que un virus de estas características podría ser modificado de una forma muy sencilla para usar la misma infraestructura para espiar a los usuarios, capturando imágenes de la cámara, grabando audio u obteniendo datos confidenciales, como los credenciales de los principales servicios y de la cuenta bancaria, para después enviarlos a un servidor controlado por los atacantes.
Cabe destacar que en los comentarios de muchas de ellas los usuarios alertaban a la comunidad en los comentarios para que no instalaran las aplicaciones, asegurando que se trataba de spam. Por este motivo, es muy importante que antes de instalar una app te fijes en las valoraciones y comentarios de otras personas.
Tomado de: http://www.segurmatica.cu/mas-de-50-apps-de-google-play-infectadas-con-un-nuevo-malware
Más de 100 aplicaciones en Google Play tienen código malicioso oculto
Lunes, Septiembre 18, 2017 – 09:06
Los autores de malware lograron ocultar código malicioso dentro de un kit de desarrollo de software (SDK, en sus siglas en inglés) que los desarrolladores meten en sus aplicaciones de Android, sin darse cuenta.
Con ello exponen a sus usuarios a una variedad de malware móvil que Check Point ha identificado como ExpensiveWall. Según estos, han sido más de 100 aplicaciones Android que están en Google Play las que han sido infectadas por este problema.
Aplicaciones con código malicioso oculto
Según las estadísticas de descarga de aplicaciones de Google Play, las aplicaciones maliciosas se descargaron entre 5,9 millones y 21,1 millones de veces. El más descargado de estos fue una aplicación llamada Lovely Wallpaper, descargada entre 1 y 5 millones de veces.
Es por ello que son muchos los usuarios potenciales que han podido sufrir las consecuencias de este malware oculto. Los autores han logrado su objetivo de que parezca inofensivo de cara a los desarrolladores de aplicaciones y sean éstos quienes lo introduzcan en los propios programas que luego son descargados por el usuario final.
Cómo actúa
Un análisis de las aplicaciones subidas en Google Play Store reveló que las aplicaciones incluían código malicioso (a través de un SDK denominado “gtc”) para realizar una serie de operaciones en un orden preciso.
El primer paso es similar a lo primero que realiza que realiza todo programa malicioso de Android: recopilar datos del dispositivo infectado y notificar esta información a un servidor remoto.
Segundo, ExpensiveWall haría ping de nuevo a un servidor remoto y recibiría comandos que ejecutarían dentro de un componente WebView. Estos comandos contactan con el componente WebView para acceder a una página y suscribir al usuario a servicios SMS premium.
El malware imita los toques de pantalla que haría el usuario en cualquier procedimiento de varios pasos. También oculta mensajes SMS de confirmación.
En la mayoría de los casos, los propietarios de dispositivos sólo se darán cuenta de que han sido infectados con malware la próxima vez que llegue su factura móvil. Sin embargo, los investigadores también encontraron casos en los que el malware pide al usuario pulsar un botón que dice “Continuar”. Una vez que el usuario hace click en el botón, el malware envía un SMS premium en su nombre.
Google ha eliminado las aplicaciones infectadas
Google ha eliminado todas las aplicaciones que han sido reportadas por los investigadores de Check Point. Los investigadores también dicen que han identificado tres campañas distintas que distribuyeron el malware ExpensiveWall.
El primero fue detectado por los investigadores de seguridad de McAfee a principios de año, en enero. El segundo fue detectado y detenido recientemente por Check Point. Una tercera ola, activa en la actualidad, de aplicaciones no utiliza activamente el código malicioso oculto en el SDK.
Fueron muchas las aplicaciones que contenían código malicioso. Algunas de las que fueron más veces descargadas fueron estas: I Love Filter, Tool Box Pro, X WALLPAPER, Horoscope, X Wallpaper Pro, Beautiful Camera, Color Camera, Love Photo o Charming Camera. Todas ellas fueron descargadas al menos 100.000 veces. Se cree que la primera, I Love Filter, pudo ser descargada hasta 5 millones de veces.
Fuente: redeszone (http://www.segurmatica.cu/mas-de-100-aplicaciones-en-google-play-tienen-codigo-malicioso-oculto)