Nuevo malware de Android en Google Play instalado 3 millones de veces

Una nueva familia de malware para Android -en Google Play Store- suscribe en secreto a los usuarios a servicios premium. Las apps maliciosas se descargaron más de 3 millones de veces. El investigador de seguridad de Evina, Maxime Ingrao, descubrió que el malware, llamado ‘Autolycos’, se encontraba en al menos ocho aplicaciones de Android. De esas, […]

Una nueva familia de malware para Android -en Google Play Store- suscribe en secreto a los usuarios a servicios premium.

Las apps maliciosas se descargaron más de 3 millones de veces.

El investigador de seguridad de Evina, Maxime Ingrao, descubrió que el malware, llamado ‘Autolycos’, se encontraba en al menos ocho aplicaciones de Android.

De esas, hay dos aplicaciones que aparentemente aún están disponibles. Estas son ‘Funny Camera’ de KellyTech, que tiene más de 500.000 instalaciones, y ‘Razer Keyboard & Theme’ de rxcheldiolola, que cuenta con más de 50.000 instalaciones en Play Store.

Las seis aplicaciones restantes se eliminaron de Google Play Store, pero aquellos que aún las tienen instaladas corren el riesgo de que las actividades del malware les cobren costosas suscripciones.

Estas apps son:

• Vlog Star Video Editor (com.vlog.star.video.editor) – 1 millón de descargas
• Creative 3D Launcher (app.launcher.creative3d) – 1 millón de descargas
• Wow Beauty Camera (com.wowbeauty.camera) – 100.000 descargas
• Teclado Gif Emoji (com.gif.emoji.keyboard) – 100.000 descargas
• Freeglow Camera 1.0.0 (com.glow.camera.open) – 5000 descargas
• Coco Camera v1.1 (com.toomore.cool.camera) –1.000 descargas

Aunque Google reconoció haber recibido el informe hace bastante tiempo, la empresa tardó seis meses en eliminar el conjunto de seis.

Autolycos es un malware que realiza un comportamiento malicioso sigiloso, como ejecutar URL en un navegador remoto y luego incluir el resultado en solicitudes HTTP en lugar de usar Webview.

Este comportamiento está destinado a hacer que sus acciones sean menos perceptibles y, por lo tanto, no ser detectado por los usuarios de los dispositivos comprometidos.

En muchos casos, las aplicaciones maliciosas solicitaban permiso para leer el contenido de SMS al instalarse en el dispositivo, pudiendo leerlos.

Para promocionar las aplicaciones entre nuevos usuarios, los operadores de Autolycos crearon numerosas campañas publicitarias en redes sociales. Solo para Razer Keyboard & Theme, Ingrao contó 74 campañas publicitarias en Facebook.