En los últimos meses, se identificaron y eliminaron con éxito varias aplicaciones maliciosas de Android de Play Store de Google. Pero el ciclo de descubrimiento y eliminación de malware de Android no parece terminar pronto. Solo en septiembre, los investigadores descubrieron un total de 172 aplicaciones infectadas con más de 335 millones de instalaciones. Recientemente, […]
En los últimos meses, se identificaron y eliminaron con éxito varias aplicaciones maliciosas de Android de Play Store de Google. Pero el ciclo de descubrimiento y eliminación de malware de Android no parece terminar pronto. Solo en septiembre, los investigadores descubrieron un total de 172 aplicaciones infectadas con más de 335 millones de instalaciones.
Recientemente, los investigadores de Trend Micro informaron 49 nuevas aplicaciones de adware en Google Play, disfrazados de juegos y cámaras estilizadas. Aunque ya no están online (las apps), las partes respectivas todavía están subiendo nuevas versiones, según el informe.
Hay innumerables solicitudes de instalación de aplicaciones todos los días, y Google Play utiliza una variedad de barreras para rechazar aplicaciones que se consideran maliciosas. A pesar de eso, muchas veces los estafadores encuentran nuevas formas de engañar a Google para que acepte sus envíos.
Investigadores de Bitdefender Labs detallaron las técnicas utilizadas por los actores de amenazas para evitar los filtros de seguridad implementados por Google en su reciente documento técnico. A continuación te mostramos algunas de esas técnicas:
Cifrado lógico y codificación ofuscada: los desarrolladores optan por no incluir la lógica principal de una aplicación en el código estándar y confían en una biblioteca dinámica ejecutable nativa. El código posterior se descifra y se carga mientras se oculta la funcionalidad maliciosa hasta que la aplicación se descarga y se ejecuta en el dispositivo de la víctima. A veces, el código también está muy ofuscado para eludir la seguridad.
Verificaciones de tiempo y duración de visualización de anuncios: según los investigadores, las aplicaciones maliciosas verifican que la hora del sistema sea de al menos 18 horas desde un valor de tiempo específico codificado. Solo después de completar esta verificación, las aplicaciones comienzan a ocultar su presencia de los dispositivos de las víctimas. Además, algunas aplicaciones de adware exhiben duraciones de tiempo más largas entre la visualización de anuncios (hasta 350 minutos estándar) para evitar sospechas del usuario.
Bibliotecas de utilidad de código abierto: las bibliotecas de código abierto, como Evernote o Dropbox, se utilizaron para extraer y ejecutar trabajos en segundo plano en lugar de una API de Android. Las aplicaciones maliciosas también las utilizan para la actividad “ShowAds” o “ShowAdsHideIcon”.
SDK limpios (inicialmente): los desarrolladores de aplicaciones malintencionadas implementan una versión limpia de su aplicación al principio, solo para luego reemplazarla por la incluida con adware. Estas funcionalidades maliciosas se introducen gradualmente con actualizaciones y también cambiando la configuración y el comportamiento de las aplicaciones.
Además de esto, existen otras técnicas que los desarrolladores de aplicaciones maliciosas adoptaron para eludir el sistema de investigación de aplicaciones de Google. Los desarrolladores de aplicaciones también envían una base de código idéntica a través de diferentes cuentas de desarrollador, y algunos utilizan la configuración del servidor remoto o comandos para ocultar el código malicioso.
Recientemente, Google anunció su colaboración con ESET, Lookout y Zimperium para evitar de manera más efectiva que las aplicaciones maliciosas lleguen a Play Store. Al nombrar la iniciativa como App Defense Alliance, la compañía de tecnología con sede en EE. UU. Dice que la alianza ayudará a reducir el riesgo de malware basado en aplicaciones y protegerá a más de 2.5 millones de usuarios de Android de nuevas amenazas.
Las dos amplias responsabilidades compartidas por las partes interesadas incluyen garantizar la seguridad de Google Play Store y encontrar rápidamente aplicaciones potencialmente dañinas y evitar que se publiquen.
En abril, el gigante de las búsquedas también había dicho que llevará más tiempo revisar las aplicaciones de los desarrolladores con cuentas recién creadas.
Investigadores de Ciberseguridad de Akamai revelaron un estudio sobre cómo ciberdelincuentes están abusando de las plataformas de análisis de datos como Analytics para desarrollar campañas más certeras.
Fleeceware es el nombre dado a las aplicaciones que técnicamente no son malware pero que no muestran enfoques aceptables. Fleeceware puede considerarse como programas potencialmente no deseados (PUP) o aplicaciones potencialmente no deseadas (PUA).