Nota: todas las aplicaciones mencionadas en esta investigación se han eliminado y ya no son accesibles.
Durante los últimos años, los ciberdelincuentes han redoblado sus esfuerzos para incluir aplicaciones maliciosas en Google Play Store, la fuente de aplicaciones de Android con mayor tráfico en el mundo. Si bien los controles de seguridad de la plataforma han mejorado a lo largo de los años, nuestra investigación aún descubre aplicaciones maliciosas que utilizan una amplia gama de trucos para eludir estos controles.
Este es el caso de una nueva campaña de malware en Google Play Store donde numerosas aplicaciones usan pretextos falsos para atraer a las víctimas a instalarlas, solo para cambiar su nombre y publicar anuncios de manera agresiva después.
Ataque de un vistazo
- Bitdefender ha identificado 35 aplicaciones que se han colado en Play Store, con un total de más de dos millones de descargas si tenemos en cuenta los datos públicos disponibles.
- Estas aplicaciones ocultan su presencia en el dispositivo renombrándose y cambiando su ícono, luego comienzan a publicar anuncios agresivos.
- Para confundir al usuario y ocultar su presencia, las aplicaciones cambian de nombre e icono después de la instalación
Una de las formas en que los ciberdelincuentes monetizan su presencia en Google Play es mostrar anuncios a sus víctimas. Si bien esto puede parecer diminuto, estos anuncios que se muestran a las víctimas están interrumpiendo la experiencia de uso y pueden vincularse directamente con el malware.
Muchas aplicaciones legítimas ofrecen anuncios a sus usuarios, pero estas muestran anuncios a través de su propio marco, lo que significa que también pueden enviar otros tipos de malware a sus víctimas. La mayoría de las veces, los usuarios pueden optar por eliminar la aplicación si no les gusta. Pero estas nuevas aplicaciones maliciosas engañan a las víctimas para que las instalen, solo para cambiar su nombre e íconos e incluso tomar algunos pasos adicionales para ocultar su presencia en el dispositivo. Los usuarios aún pueden eliminarlos a voluntad, pero los desarrolladores hacen que sea más difícil encontrarlos en los dispositivos afectados.
Si bien todas las aplicaciones detectadas son claramente maliciosas, los desarrolladores pudieron subirlas a Google Play Store, ofrecerlas a los usuarios e incluso enviar actualizaciones que mejoraron las aplicaciones para ocultarse en los dispositivos. Bitdefender identificó las aplicaciones maliciosas utilizando una nueva tecnología de comportamiento en tiempo real diseñada para detectar precisamente estas prácticas peligrosas, entre muchas otras. Esta nueva tecnología ya está dando resultados, ya que las nuevas detecciones se comparten instantáneamente con todos los usuarios de Bitdefender Mobile Security .
Vimos la aplicación ‘GPS Location Maps’ como primer ejemplo. Con más de 100.000 descargas, es uno de los más populares, pero notamos que no tiene reseñas. Inmediatamente después de la instalación, la aplicación cambia su etiqueta de ‘Mapas de ubicación GPS’ a ‘Configuración’ y luego muestra sitios web adicionales en WebViews y un anuncio.
WebViews es parte del sistema operativo Android que permite que las aplicaciones carguen contenido como páginas web, anuncios y más.
La aplicación ‘ GPS Locations Maps ‘ dificulta que los usuarios la encuentren y la desinstalen cambiando su ícono. Además, en algunos dispositivos, algunas aplicaciones maliciosas incluso solicitan permiso para omitir la función de optimización de la batería e iniciar notificaciones de servicios en primer plano para mantenerse con vida y no ser eliminados por el sistema.
Muchas de las aplicaciones detectadas también solicitan permiso para mostrarse sobre otras aplicaciones, lo que significa que probablemente también simulen los clics de los usuarios para obtener ganancias.
Ofuscación de código utilizada para permanecer oculta
Los desarrolladores que crearon los ‘ Mapas de ubicación GPS ‘ agregaron cifrado y ofuscación de código para dificultar la ingeniería inversa. La principal carga útil maliciosa de Java se esconde dentro de dos archivos DEX cifrados, y el descifrado se produce dentro del código nativo ofuscado. Incluso después del descifrado, las cadenas de código Java resultantes permanecen ofuscadas.
El comportamiento malicioso, como cambiar el ícono, también ocurre en un archivo ‘so’ nativo diferente al que se usa para el descifrado y permanece ofuscado.
Archivos DEX cifrados dentro de los activos de la aplicación:
Cadenas ofuscadas (base64 en XOR):
Funciones nativas declaradas:
Ocultar el ícono para permanecer encubierto
Una forma de permanecer oculto de un usuario empeñado en desinstalar la aplicación es cambiar el ícono a algo inocuo, como la aplicación ‘Configuración’. Lo hace declarando un lanzador de alias. Después de instalar otro ícono y etiqueta, cambia el iniciador principal, reemplazándolo con el alias que tiene la etiqueta y el ícono de ‘Configuración’.
El iniciador de alias corresponde a otra actividad, oculta dentro del paquete `com.android.setting`, probablemente para parecer más legítimo. Cuando se inicia, esta actividad se representa con el tamaño ‘0’ en una esquina, luego inicia la página de configuración para el teléfono, engañando al usuario haciéndole creer que se presionó el botón de configuración real.
Alias:
Actividad de configuración falsa:
Algunas aplicaciones también contienen diferentes lanzadores de iconos para la aplicación de configuración, según el dispositivo:
Esconderse de aplicaciones recientes
Otra técnica interesante que usan los desarrolladores para ocultar aplicaciones es asegurarse de que no se muestren en la lista de las aplicaciones utilizadas más recientemente en Android. Estas aplicaciones también tienen la marca android:excludeFromRecents=»true» establecida en su archivo de manifiesto, lo que significa que cuando un usuario mira las aplicaciones recientes abiertas en el dispositivo, la aplicación de adware no está presente entre ellas.
‘ GPS Location Maps ‘ es solo uno de los muchos que hemos identificado para manifestar un comportamiento malicioso similar. Nos dimos cuenta de que las versiones iniciales de algunas de las aplicaciones detectadas no contenían los íconos de «Configuración». Los desarrolladores agregaron los íconos en actualizaciones posteriores de la aplicación en Play Store.
Cuando miramos más de cerca a los desarrolladores de las aplicaciones empaquetadas y ofuscadas, surge un patrón que muestra un estilo de nomenclatura similar. Todos los desarrolladores de aplicaciones maliciosas solo tienen una aplicación cargada en la tienda. Además, los correos electrónicos y los sitios web relacionados con los desarrolladores se parecen entre sí, lo que probablemente nos lleve a creer que todas estas aplicaciones son el trabajo de un solo grupo o incluso de un solo desarrollador.
El comportamiento malicioso no se activa en todos los dispositivos, ya que hay algunas comprobaciones integradas en las aplicaciones que probablemente estén relacionadas con la ubicación del dispositivo, el idioma u otros factores.
Nombre del desarrollador | Correo electrónico | Sitio web |
Qasim.Llc | Steelrbasic@gmail.com | https://personalitycharginshow[.]xyz |
ALCANTARA.Lab | TipAprilb@gmail.com | https://smartqrscanner1[.]xyz |
Baig.Corp | Ississppifinest2@gmail.com | https://animatesstickermaster[.]xyz |
Hamid.Apps | jemarchag@gmail.com | https://gps1ocationfinder[.]xyz |
emmanuel.llc | Quintonjxus@gmail.com | https://mygps123123[.]xyz |
Jamie.Laboratorio | jjamiemunoz417@gmail.com | https://artgirlswallpaperhd[.]xyz |
Bennington.Llc | kkarlbennington@gmail.com | https://gatosimulador1[.]xyz |
jose.lnc | huhua.luc@gmail.com | http://smartwifii123[.]xyz |
Vern.Apps | Vernl3138@gmail.com | https://imagewarpcamera[.]xyz |
VILORIA.Corp | jamelpmac@gmail.com | https://smartqrcreator1[.]xyz |
Abid.Studio | ita.mita594@gmail.com | https://colorizeoldphoto[.]xyz |
adeel.studio | ikvznj@gmail.com | https://smartaps1ocation[.]xyz |
haq.corp | Wycliffedennis07@gmail.com | https://horoscoposecreto1[.]xyz |
Nadeem.Aplicaciones | KnowMonty@gmail.com | https://control de volumen[.]xyz |
Cedrick.Corp | cedrickoayz@gmail.com | https://gps1ocationmaps[.]xyz |
RICHARD.Lnc | Flossiezxe@gmail.com | https://girlsartwallpaper[.]xyz |
Sushil.Dev | tacie.bush@gmail.com | https://mediavolumeslider[.]xyz |
Haider.Studio | Eduardoaunx@gmail.com | https://sleepsoundss[.]xyz |
Kumar.Aplicaciones | Randytzjp@gmail.com | https://qrcreatorr12[.]xyz |
Waseem.Llc | MarquisDunlap35@gmail.com | https://secretastrología[.]xyz/ |
ButtCorp | eterbrellocvx@gmail.com | https://colorizephotos[.]xyz/ |
Estudio Vledern | deernivle67@gmail.com | – |
Otras aplicaciones en Google Play con comportamiento similar
Conclusiones
Si bien las tiendas oficiales suelen ser muy buenas para eliminar aplicaciones maliciosas o peligrosas, algunos antecedentes muestran que una pequeña cantidad de aplicaciones malas logran pasar y convertirse en víctimas hasta que son denunciadas. El hecho de que descarguemos una aplicación de la tienda oficial no significa que sea segura. Continuamos desarrollando nuevas capacidades de detección en Bitdefender Mobile Security para ayudar a los usuarios a identificar aplicaciones dañinas y eliminarlas del sistema.
También puede seguir algunas reglas simples que pueden mantenerlo más seguro:
- No instales aplicaciones que realmente no necesitas
- Recuerda eliminar las aplicaciones que ya no usas
- Tenga cuidado con las aplicaciones con una gran cantidad de descargas y pocas o ninguna revisión.
- Tenga cuidado con las aplicaciones que solicitan permisos especiales, como Dibujar sobre aplicaciones o acceder a Accesibilidad
- Tenga cuidado con las aplicaciones que solicitan acceso a permisos que no tienen nada que ver con la funcionalidad anunciada
- Ejecute siempre una solución de seguridad en segundo plano que pueda detectar comportamientos maliciosos. El hecho de que una aplicación se descargue de una tienda oficial no significa que sea segura.
Fecha: 17 de agosto de 2022
Autores: Alexandra BOCEREG, Răzvan GOSA , Albert ENDRE-LASZLO , Alex BACIU Silviu STAHIE