Home Sociedad El malware de MobOk se esconde en los editores de fotos en...

El malware de MobOk se esconde en los editores de fotos en Google Play

Expertos de Kaspersky Lab, encontraron un potente malware que hace dinero, conocido como MobOk, que se oculta en aplicaciones de edición de fotos, aparentemente legítimas, disponibles en la tienda de Google Play.

Las aplicaciones Pink Camera y Pink Camera 2, ahora eliminadas, se habían instalado alrededor de 10.000 veces, según los investigadores de Kaspersky. Incluían funcionalidad de edición de fotos genuina (aunque limitada), pero también venían con una puerta trasera altamente peligrosa que podía ofrecer al atacante un control casi completo sobre un dispositivo infectado.

“Las aplicaciones fueron diseñadas para robar datos personales de las víctimas y utilizar esa información para inscribirlas en servicios de suscripción de pago”, explicó el investigador de Kaspersky, Igor Golovin, en un mensaje publicado el jueves. “Tan pronto como los usuarios comenzaron a editar sus imágenes utilizando las aplicaciones de Pink Camera, las aplicaciones solicitaron acceso a las notificaciones, lo que inició la actividad maliciosa en segundo plano. Una vez que una víctima se infectó, el malware de MobOk recopiló información del dispositivo, como el número de teléfono asociado, con el fin de explotar esta información en etapas posteriores del ataque”.

Las aplicaciones también pedían acceso a los controles y notificaciones de Wi-Fi, y seguían preguntando hasta que el usuario decía “sí”. Luego, mientras una víctima manipulaba una foto, la aplicación recopilaba información en segundo plano sobre el dispositivo y la enviaba al servidor de mando y control (C2).

En las últimas fases del ataque, MobOk desactivó la conexión Wi-Fi en el teléfono del usuario, activando así los datos móviles para la conectividad. A partir de ahí, los atacantes inscribieron a la víctima en los servicios de suscripción en línea de pago que de hecho habían establecido. Los cargos se hacen directamente a la factura telefónica del usuario, en lugar de a una tarjeta de crédito o débito, un modelo que los ciberdelincuentes abusan rutinariamente, dijo Golovin.

“El malware abrió las páginas web del servicio de suscripción, actuando como un navegador secreto de fondo”, explicó. “Utilizando el número de teléfono extraído previamente, el malware lo insertó en el campo `suscribirse’ y confirmó la compra. Como tenía el control total del dispositivo y podía comprobar las notificaciones, el malware introducía el código de confirmación SMS cuando llegaba, todo ello sin alertar al usuario”.

Además, si la página de suscripción estaba protegida por CAPTCHA, la aplicación utilizaba el servicio de reconocimiento de imágenes chaojiying[.], que automáticamente inserta el resultado en el campo correspondiente de la página.

A partir de ahí, los atacantes se sentaron y recogieron el dinero, hasta que la víctima detectó los pagos en la factura telefónica y canceló la suscripción al servicio ofensivo.

La capacidad de edición de fotos de las Cámaras Rosas no era muy impresionante, pero lo que podían hacer entre bastidores era notable: suscribir a la gente a servicios maliciosos y lucrativos en ruso, inglés y tailandés; monitorear SMS; y solicitar reconocimiento CAPTCHA de los servicios en línea”, dijo Golovin. “Esto significa que también tenían el potencial de robar dinero de las cuentas bancarias de las víctimas. Nuestra teoría es que los atacantes detrás de estas aplicaciones crearon tanto los servicios de suscripción, no todos los cuales eran genuinos, como el malware que enganchaba a los suscriptores y los diseñaba para llegar a una audiencia internacional.