A los usuarios de Android a menudo se les recomienda obtener aplicaciones móviles de Google Play, el mercado de aplicaciones oficial de la compañía, para minimizar la posibilidad de descargar malware. Después de todo, Google analiza las aplicaciones antes de permitirlas en el mercado. Desafortunadamente, una y otra vez, leemos acerca de vendedores ambulantes de malware que encuentran formas de eludir ese proceso de investigación.
“La distribución a través de goteros en las tiendas oficiales sigue siendo una de las formas más eficientes para que los actores de amenazas lleguen a una audiencia amplia y desprevenida. Aunque también se utilizan otros métodos de distribución según los objetivos, los recursos y la motivación de los ciberdelincuentes, los droppers siguen siendo una de las mejores opciones en relación precio-esfuerzo-calidad, compitiendo con SMiShing”, señalaron recientemente los investigadores de Threat Fabric, después de compartir su descubrimiento de varios aplicaciones en Google Play que funcionan como cuentagotas para los troyanos bancarios Sharkbot y Vultur.
Análisis de comportamiento, información de datos y cumplimiento para todas las organizaciones.
Conocer..
Técnicas de evasión de droppers de malware en Google Play
Estas aplicaciones troyanizadas y funcionales, generalmente administradores de archivos, herramientas de recuperación de archivos o autenticadores de seguridad (2FA), están diseñadas para ocultar su naturaleza maliciosa de Google Play Protect, soluciones antivirus, investigadores y usuarios: brindan la funcionalidad anunciada, solicitan algunos comunes permisos que no levantan sospechas y que no contienen código abiertamente malicioso.
Más recientemente, los investigadores de Cleafy compartieron información adicional sobre las técnicas de evasión de un gotero troyano Vultur que se incluyó en tres aplicaciones que se encuentran en Google Play (RecoverFiles, My Finances Tracker y Zetter Authenticator).
Este cuentagotas, creado por el equipo de delitos cibernéticos detrás de Brunhilda DaaS (Dropper as a Service), se mejora constantemente. La última versión ocupa poco espacio, solicita pocos permisos y utiliza técnicas de esteganografía, eliminación de archivos, ofuscación de cadenas y antiemulación para «esconderse» de emuladores, sandboxes y soluciones de seguridad.
El cuentagotas de Sharkbot, como lo describen los investigadores de Threat Fabric, solicita una cantidad aún menor de permisos comunes y luego ni siquiera realiza actividades maliciosas si el usuario no se encuentra en una ubicación geográfica específica.
“Para evitar el uso [del potencialmente sospechoso] permiso REQUEST_INSTALL_PACKAGES, el cuentagotas abre una página falsa de la tienda de Google Play haciéndose pasar por la página [de la aplicación troyana]. Contiene información falsa sobre el número de instalaciones y revisiones, e insta a la víctima a realizar una actualización. Poco después de abrir la página, comienza la descarga automática. Así, el cuentagotas externaliza el procedimiento de descarga e instalación al navegador, evitando permisos sospechosos”, explican los investigadores.
“Obviamente, este enfoque requiere más acciones por parte de la víctima, ya que el navegador mostrará varios mensajes sobre el archivo descargado. Sin embargo, dado que las víctimas están seguras del origen de la aplicación, es muy probable que instalen y ejecuten la carga útil descargada de Sharkbot”.
De manera similar, la aplicación cuentagotas Brunhilda muestra al usuario una solicitud de actualización persistente para descargar una nueva aplicación (es decir, el malware Vultur).
“Aunque de esa manera, el usuario tiene que aceptar el permiso de Android para descargar e instalar la aplicación desde una fuente diferente a la tienda oficial de Google, esta técnica permite que [los actores de amenazas] no carguen la aplicación maliciosa directamente en la tienda oficial, haciendo la aplicación del cuentagotas es indetectable”, señalaron los investigadores de Cleafy.
Fuente: helpnetsecurity
Si te ha gustado, ¡compártelo con tus amigos!
