Los hackers están usando una técnica de control de versiones furtiva para apps maliciosas para eludir los escáneres de Google Play Store

Los perpetradores de amenazas están empleando una táctica conocida como «versioning» para eludir los mecanismos de detección de malware de Google Play Store y focalizarse en los usuarios de Android.

«Las campañas que emplean versioning suelen apuntar a las credenciales, datos y recursos financieros de los usuarios», expresó el Equipo de Acción de Ciberseguridad de Google (GCAT) en su Informe de Horizontes de Amenazas de agosto de 2023, compartido con The Hacker News.

Aunque el versioning no es una novedad, su astucia y difícil detección son notables. En este método, un desarrollador lanza una versión inicial de una aplicación en la Play Store que supera las verificaciones previas a su publicación de Google, pero posteriormente se actualiza con un componente de malware.

Esta modificación se logra al enviar una actualización desde un servidor controlado por el atacante para insertar código malicioso en el dispositivo del usuario mediante una técnica denominada «dynamic code loading» (DCL), transformando efectivamente la aplicación en una puerta trasera.

En mayo pasado, ESET descubrió una aplicación de grabación de pantalla llamada «iRecorder – Screen Recorder» que se mantuvo inofensiva durante casi un año después de su primera subida a la Play Store, antes de introducir sigilosamente cambios maliciosos para espiar a sus usuarios.

Otro ejemplo de malware que utiliza el método DCL es SharkBot, que ha aparecido repetidamente en la Play Store disfrazado de aplicaciones de seguridad y utilidades.

SharkBot es un troyano financiero que ejecuta transferencias de dinero no autorizadas desde dispositivos comprometidos mediante el protocolo Automated Transfer Service (ATS).

Las aplicaciones instaladoras que aparecen en la tienda vienen con funcionalidades limitadas que, una vez instaladas por las víctimas, descargan una versión completa del malware con el objetivo de pasar desapercibidas.

«En un entorno empresarial, el versioning demuestra la necesidad de principios de defensa en profundidad, incluyendo, entre otros, la limitación de fuentes de instalación de aplicaciones a fuentes confiables como Google Play o la administración de dispositivos corporativos a través de una plataforma de gestión de dispositivos móviles (MDM)», afirmó la compañía.

Estos hallazgos surgieron cuando ThreatFabric reveló que los distribuidores de malware han estado aprovechando una vulnerabilidad en Android para disfrazar aplicaciones maliciosas como benignas al «corromper componentes de una app» de manera que la aplicación en su conjunto sigue siendo válida, según informó KrebsOnSecurity.

«Los actores pueden tener varias aplicaciones publicadas en la tienda al mismo tiempo bajo diferentes cuentas de desarrollador; sin embargo, solo una de ellas es maliciosa, mientras que la otra actúa como respaldo para ser utilizada después de una eliminación», mencionó la empresa de ciberseguridad holandesa en junio.

«Esta táctica ayuda a los actores a mantener campañas prolongadas, minimizando el tiempo necesario para publicar otro instalador y continuar con la distribución».

Para reducir los posibles riesgos, se recomienda que los usuarios de Android descarguen aplicaciones solo desde fuentes confiables y que activen Google Play Protect para recibir notificaciones cuando se detecte una aplicación potencialmente dañina (PHA) en el dispositivo.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *