Más de 105 millones de dispositivos Android de todo el mundo han sido infectados con un malware que cobra a los usuarios por servicios ficticios "Premium" sin que estos lo sepan. Se trata del scamware "Dark Herring", que lleva operando casi dos años y que ha sido descubierto por el equipo de Zimperium zLabs, convirtiéndose en la estafa móvil más duradera hallada por la compañía de ciberseguridad.
Según Zumperium, Dark Herring se ha infiltrado en cerca de 470 aplicaciones de Google Play Store desde marzo de 2020 hasta noviembre de 2021 y ha conseguido estafar a los usuarios cientos de millones de dólares, cobrándoles una media de 15 dólares al mes por app.
"Estas aplicaciones maliciosas de Android parecen inofensivas cuando se mira la descripción de la tienda y los permisos solicitados, pero esta falsa sensación de confianza cambia cuando a los usuarios se les cobra mes tras mes por el servicio premium que no reciben a través de la facturación directa del operador".
La investigación destaca otras características de este malware. Una de ellas es que a diferencia de muchas otras aplicaciones maliciosas que no brindan capacidades funcionales, las víctimas de Dark Herring pueden utilizar las apps en las que se oculta, por lo que es más fácil que permanezcan en los dispositivos. También apunta que la distribución de las aplicaciones estuvo extremadamente bien planificada, abarcando múltiples y variadas categorías para ampliar así la gama de posibles víctimas.
La mayor parte de las aplicaciones (el 38,9%) estaban publicadas en la categoría de entretenimiento de Play Store, y le siguen las herramientas y la fotografía (8,3% en ambos casos). Todas ellas ya han sido eliminadas de la biblioteca oficial de Google, pero aún permanecen en las de terceros y pueden continuar instaladas en los dispositivos que las han descargado por lo que es necesario
Una de las campañas de malware más extensas y exitosas
Zumperium señala que la campaña es "excepcionalmente versátil" y se ha dirigido a usuarios móviles de más de 70 países, España entre ellos, al cambiar el idioma de la aplicación y mostrar el contenido de acuerdo con la dirección IP del usuario actual.
"Tras la infección, la aplicación infectada con Dark Herring se comunica con el servidor C&C, exponiendo la dirección IP de la víctima. En función de la ubicación geográfica de la dirección IP, la decisión de apuntar o no a la víctima para la suscripción de Facturación directa del operador se toma mediante el uso de la lógica por parte del servidor. El malware redirige a la víctima a una página web geoespecífica donde se le pide que envíe sus números de teléfono para su verificación. Pero en realidad, envían su número de teléfono a un servicio de facturación directa del operador que comienza a cobrarles un promedio de 15 dólares al mes. La víctima no nota inmediatamente el impacto del robo, y la probabilidad de que la facturación continúe durante meses antes de la detección es alta, con pocos o ningún recurso para recuperar el dinero", explica la firma de ciberseguridad.
Zimperium considera que Dark Herring una de las campañas de malware más extensas y exitosas por la gran cantidad de aplicaciones en las que se ha camuflado. Como hemos señalado, se ha dirigido a 70 países y los más afectados han sido Grecia, Finlandia, Suecia, Noruega, Bulgaria, Irak, Túnez, India, Pakistán, Arabia Saudita y Egipto.