Home Sociedad Juego de terror para Android, roba datos y credenciales de Google y...

Juego de terror para Android, roba datos y credenciales de Google y Facebook

Se descubrió que un juego de terror Android, con más de 50.000 instalaciones mostraba un comportamiento malicioso, robando las credenciales de Google y Facebook de los jugadores y desviando sus datos después de iniciar sesión en sus cuentas.

El juego se llama Scary Granny ZOMBYE Mod: The Horror Game 2019 (Scary Granny) y está diseñado para contar con el éxito de otro juego de Android llamado Granny que actualmente tiene más de 100 millones de instalaciones.

Para ocultar su verdadero lado “horroroso”, el juego retrasaría la exhibición de cualquier actividad maliciosa hasta dos días después de haber sido instalado, como descubrió el equipo de investigación de Wandera.

Además, la aplicación sólo activaría sus módulos de robo de datos si se utilizara en versiones antiguas de Android, sin que los usuarios de los dispositivos más recientes que ejecutan sistemas operativos actualizados se vieran afectados.

Al instalarse, el juego Scary Granny gana persistencia en los dispositivos al pedir permisos para iniciarse después de que el smartphone de la tableta se reinicie.

Esto le permite mostrar superposiciones de phishing a pantalla completa incluso después de que los usuarios de Android reinicien sus dispositivos, mostrando primero “una notificación que le indica al usuario que actualice los servicios de seguridad de Google”. Cuando el usuario pulsa’actualizar’, se presenta una página de acceso falsa de Google, lo que resulta muy convincente, aparte de que “inicio de sesión” se escribe incorrectamente”.

Después de robar las credenciales de Google de la víctima, Scary Granny comenzará a recopilar información de la cuenta, como correos electrónicos de recuperación y números de teléfono, códigos de verificación, fechas de nacimiento, así como cookies y tokens.

La inspección del tráfico de red de la aplicación, también permitió a los investigadores que el juego malicioso iniciara sesión en las cuentas de las víctimas utilizando un navegador incorporado y que comenzara a recopilar cookies e identificadores de sesión que serían enviados subrepticiamente al atacante.

Este comportamiento se activó después de que una versión inicial de la aplicación “tuviera la capacidad de robar y extraer datos de cuentas de Google y Facebook, pero no estaba realizando estas transacciones debido al constante bloqueo”, lo que demuestra que los ciberdelincuentes detrás de este juego de terror estaban actualizando continuamente sus características maliciosas.

Para raspar la información de Google y Facebook de sus víctimas, Scary Granny podría usar paquetes ofuscados diseñados para imitar componentes de aplicaciones oficiales de Android, por ejemplo, utilizando el paquete com.googles.android.gms que intenta camuflarse a sí mismo como el legítimo com.google.android.gms.

El malicioso juego de terror Scary Granny Android también mostraría anuncios persistentes camuflados como anuncios de otras aplicaciones como Amazon, Facebook, Facebook Lite, HaGo, Hulu, Instagram, Messenger, Pinterest, SnapChat, TikTok o Zalo.

“En nuestro análisis, pudimos ver que al ver todas las aplicaciones abiertas en el dispositivo, parecía que había aplicaciones abiertas, incluyendo Facebook y Amazon, pero en realidad eran anuncios que la aplicación Scary Granny había abierto y disfrazado de aplicaciones legítimas”, encontraron los investigadores.

Aunque Wandera no pudo probar que los anuncios también se utilizaban para redirigir a las víctimas a enlaces de descarga que permitirían a los delincuentes distribuir otras aplicaciones maliciosas.

Sin embargo, “En un ejemplo, el anuncio dirige al usuario a una página que Google bloqueó, marcándola como engañosa, lo que sugiere que aloja malware o un ataque de phishing”.

Los anuncios se distribuirían a los dispositivos Android comprometidos después de conectarse a una red publicitaria mediante el paquete com.coread.adsdkandroid2019.

El juego malicioso también intentaría aumentar aún más las ganancias de sus amos exigiendo a los usuarios de Android que paguen por el juego a través de una “página de pago de PayPal pre-poblada por 18 libras esterlinas (22 dólares)”, como concluye Wandera.