Los actores de las amenazas utilizan un tipo de malware para Android camuflado como una aplicación del sistema para inhabilitar el servicio Google Play Protect, generar críticas falsas, instalar aplicaciones maliciosas, mostrar anuncios y mucho más.
Una vez que infecta el dispositivo Android de la víctima, el malware descarga y descifra la carga útil, y luego va directamente a la recolección de información, recogiendo la información del dispositivo como el país, el tipo de red, el proveedor, el modelo de teléfono inteligente, la dirección de correo electrónico, el IMEI y el IMSI.
Todos estos datos se exfiltran a los servidores de los operadores, que enviarán una serie de comandos que se ejecutarán en el smartphone o tableta infectados.
Los atacantes utilizarán el troyano Shopper.a para aumentar las clasificaciones de otras aplicaciones maliciosas en la Play Store, publicar reseñas falsas en las entradas de cualquier aplicación, instalar otras aplicaciones de la Play Store o de otras tiendas de aplicaciones de terceros bajo la cubierta de una ventana “invisible”.
Todo esto se hace abusando del Servicio de Accesibilidad, una conocida táctica utilizada por el malware de Android para realizar una amplia gama de actividades maliciosas sin necesidad de la interacción del usuario [1, 2, 3, 4]. Si no tiene permisos para acceder al servicio, el troyano utilizará el phishing para obtenerlos del propietario del dispositivo comprometido.
El malware también inhabilita el servicio de protección contra amenazas para móviles Google Play Protect, la protección integrada de malware para Android de Google, para que pueda realizar sus actividades sin problemas.
“Google Play Protect escanea más de 50.000 millones de aplicaciones cada día en más de 2.000 millones de dispositivos”, según el informe “Android Security & Privacy 2018 Year In Review” publicado en marzo de 2019.
“La falta de derechos de instalación de fuentes de terceros no es un obstáculo para el troyano – se da a sí mismo los permisos necesarios a través del Servicio de Accesibilidad”, explicó el investigador de Kaspersky Lab Igor Golovin.
“Con el permiso para utilizarlo, el malware tiene posibilidades casi ilimitadas de interactuar con la interfaz del sistema y las aplicaciones. Por ejemplo, puede interceptar los datos que aparecen en la pantalla, hacer clic en los botones y emular los gestos del usuario”.
Dependiendo de los comandos que reciba de sus maestros, Shopper.a puede realizar una o más de las siguientes tareas:
– Abrir los enlaces recibidos del servidor remoto en una ventana invisible (en la que el malware verifica que el usuario está conectado a una red móvil).
– Después de un cierto número de desbloqueos de pantalla, se esconde del menú de aplicaciones.
– Comprobar la disponibilidad de los derechos del Servicio de Accesibilidad y, si no se conceden, emitir periódicamente una petición de phishing al usuario para que los proporcione.
– Inhabilita Google Play Protect.
– Crea accesos directos a los sitios anunciados en el menú de aplicaciones.
– Descarga aplicaciones del “mercado” de terceros Apkpure[.]com e instálalas.
– Abre las aplicaciones anunciadas en Google Play y haz “clic” para instalarlas.
– Sustituye los accesos directos a las aplicaciones instaladas por accesos directos a los sitios anunciados.
– Publicar críticas falsas supuestamente del usuario de Google Play.
– Mostrar anuncios cuando la pantalla esté desbloqueada.
– Registrar a los usuarios a través de sus cuentas de Google o Facebook en varias aplicaciones.
“Los ciberdelincuentes utilizan Trojan Dropper.AndroidOS.Shopper.a para aumentar la calificación de ciertas aplicaciones y aumentar el número de instalaciones y registros”, añadió Golovin.
“Todo esto puede ser usado, entre otras cosas, para engañar a los anunciantes. Además, el troyano puede mostrar mensajes publicitarios en el dispositivo infectado, crear accesos directos a los sitios de anuncios y realizar otras acciones”.
En noticias relacionadas, Google reveló que Play Protect detectó y eliminó alrededor de 1.700 aplicaciones infectadas con el malware Joker Android (también conocido como Bread) de la Play Store desde que la empresa comenzó a realizar el seguimiento de esta cepa a principios de 2017.
Para poner las cosas en perspectiva, mientras que la revisión anual de Android Security & Privacy 2018 no proporcionó el número exacto de aplicaciones maliciosas eliminadas, la de 2017 afirma que la empresa “eliminó más de 700.000 aplicaciones que violaban las políticas de Google Play, un 70% más que las aplicaciones eliminadas en 2016”.
Con información de: Bleeping Computer.