¿Cómo las apps maliciosas logran burlar los controles de seguridad de Google Play?

Los programas maliciosos conocidos como droppers o cuentagotas han evolucionado la técnica con la que sortean los mecanismos de seguridad de las tiendas oficiales de aplicaciones, reduciendo los permisos que solicitan o introduciendo nuevas capas de ofuscación, con la que consiguen tener miles de descargas.

Un dropper es un tipo de troyano que se descarga en el equipo de la víctima para, una vez en él, instalar el malware con el que lo infectará para realizar la actividad maliciosa.

MIRA: Google retira 16 apps de Play Store por contener un peligroso malware

La compañía de ciberseguridad ThreatFabric ha repasado en su blog los últimos descubrimientos en droppers o cuentagotas y las técnicas que los cibercriminales han desplegado con el objetivo de sortear los mecanismos de seguridad de las tiendas de aplicaciones oficiales.

Uno de esos programas maliciosos es Sharkbot. A principios de mes se descubrió una nueva campaña maliciosa dirigida contra usuarios italianos, que distribuía el dropper desde Google Play Store en una aplicación de cálculo de impuestos, que contaba con más de 10.000 instalaciones.

MIRA TAMBIÉN: Truth Social, la red social de Donald Trump, ahora está disponible en Google Play Store

La nueva versión de Sharkbot no incluía permisos sospechosos que puedan alertar a los sistemas de Google, reduciéndolos a tres bastante comunes: acceso a Internet, a la lectura del almacenamiento externo y a su escritura.

La actividad maliciosa se desencadenaba al comprobar que la SIM del smartphone donde se había instalado se correspondía con Italia. Entonces, recibía una url con la carga útil que lo infecta y abría una página falsa que simulaba ser la de la app en Google Play para instar a la víctima a que actualizara.

MIRA: Versiones de Dynamic Island están llenando Play Store, pero a través de aplicaciones riesgosas

Sharkbot también se encontró en una aplicación de gestión, publicada en Play Store, aunque en esta ocasión sin descargar registradas. En este caso, la app sí contaba con el permiso de instalación de paquetes.

ThreatFabric también menciona la familia de malware Vultur, un troyano bancario descubierto por primera vez en verano del año pasado, con capacidad para evadir los controles de Google Play Store.

MIRA TAMBIÉN: Google muestra las calificaciones de apps en Play Store según el dispositivo que usen los usuarios

La compañía de ciberseguridad ha identificado recientemente tres droppers en la tienda de Google que instalaban Vultur, con entre mil y 100.000 instalaciones, simulando ser aplicaciones de inicio de sesión seguro o de recuperación de archivos.

Al tratarse de una nueva versión del dropper, los investigadores han identificado técnicas de ofuscación distintas de las encontradas en las primeras iteraciones. “La lógica de instalación no está contenida en el archivo DEX principal, sino en un archivo DEX adicional que se carga dinámicamente” y “encripta cadenas usando AES con una clave variable”. A esto se añade un registro de accesibilidad extenso.