• Home /

  • Ciberseguridad /

  • Google Play, como un campo de minas por culpa de BearClod y “Haken”, los nuevos adclickers que infectan de malware las apps

Google Play, como un campo de minas por culpa de BearClod y “Haken”, los nuevos adclickers que infectan de malware las apps

Guardar

googleplay
googleplay

La descarga de aplicaciones se ha convertido en una fuente de negocio y casi una adicción para los usuarios del móvil. Sin embargo, son muchos los riesgos que esta costumbre implica para la seguridad de la información de los usuarios. Recientemente investigadores de Checkpoint mundial, han descubierto recientemente una nueva familia de malware de clicker, junto con muestras recientes de la familia de spyware Joker en Google Play

“La oferta de aplicacionesmóviles disponibles para descargar es cada vez más amplia, lo que deriva en quelos millones de usuarios se conecten a plataformas como Google Play paradescargar e instalar un gran número de estos programas en sus dispositivosmóviles”, señala EusebioNieva, director técnico de Check Point para España y Portugal. “Este hechohace que los cibercriminales hayan decidido dirigir sus ataques contra estetipo de plataformas con el objetivo de infectar miles de aplicaciones. Ademásde los riesgos asociados a las vulnerabilidades existentes en estos programas,otro de los principales peligros reside en que los cibercriminales infectan conmalware miles de aplicaciones, por lo que datos como las credenciales,fotografías, correos electrónicos o incluso los SMS de los usuarios están enpeligro”, añade Nieva.

Los adclickers, un tipo de malware que simula el gesto del usuario pulsando sobre los 'banners' de anuncios, suponen un terrible varapalo para la industria del movil

Los adclickers, un tipo de malware que simula el comportamiento del usuario pulsando sobre los 'banners' de anuncios, son una amenaza creciente en la industria del móvil. En los últimos tiempos, se ha observado un aumento en la actividad de “BearClod”, que infectó 47 nuevas aplicaciones que estaban disponibles en Google Play, las cuales fueron descargadas más de 78 millones de veces por los usuarios. Este tipo de malware utiliza una creación de vista web y carga de código JavaScript malicioso que realiza el clic y generar así beneficios económicos.

Por otra parte, los investigadores de Check Point descubrieron un nuevo adclickerconocido como “Haken”, que por el momento ha afectado a 8 aplicaciones (principalmenteaplicaciones de cámara y apps para niños) que suman más de 50.000 descargas.Esta familia de malware, sin embargo, utiliza un enfoque diferente para laimplementación de la funcionalidad de los adclickers, ya que utiliza códigonativo e inyección de código malicioso en las bibliotecas de Facebook y AdMobmientras se comunica con un servidor remoto para obtener la configuración delas aplicaciones infectadas. De esta forma, Haken ha mostrado tener éxito a lahora de generar clicks en campañas publicitarias maliciosas sin ser detectadopor Google Play. Los investigadores de Check Point informaron de esta amenaza ala compañía, y todas las aplicaciones infectadas fueron eliminadas de laplataforma de descarga Google Play. Asimismo, la mayoría han lanzado nuevasversiones que no estaban afectadas por este malware.

Pocas bromas con este “Joker”, un spyware encontrado en Google Play que te roba información

Además de los adclickers, otrade las familias de malware que ha reaparecido en los últimos meses afectado es“Joker”. Descubierto por primera vez en septiembre de 2019, se trata de unspyware (programa para espiar) y marcador premium que suscribe al usuario aservicios de pago que ha vuelto a Google Play infectando a 4 aplicaciones, queentre todas suman más de 130.000 descargas. Casi todas las semanas desde sulanzamiento, Joker logró entrar en la tienda oficial y ser descargado en losdispositivos de los usuarios.

Este spyware tiene comoobjetivo aprovechar la descarga de estas aplicaciones para instalar una cargaútil en el dispositivo del usuario que le permita tener acceso y controlartodas las notificaciones recibidas, así como poder enviar mensajes de texto sinque le usuario lo sepa. Además, Joker utiliza la carga útil instalada en eldispositivo para analizar todo el tráfico de notificaciones y SMS entrantes,extraer el código de confirmación para dar de alta el servicio premium y loreenvía a la “página de ofertas” con el objetivo de hacer efectiva lasubscripción a dicho servicio a través de un navegador oculto. Asimismo, esimportante destacar que este spyware, para dificultar que sea detectado porcualquier herramienta de seguridad, utiliza un cifrado simple XOR para ocultarsu funcionalidad.

“Estas nuevas campañas demalware ponen de manifiesto que los cibercriminales están constantementebuscando alternativas para infectar los dispositivos de millones de usuarios entodo el mundo. Cada día se suben cientos de aplicaciones nuevas disponiblespara descargar, por lo que es imprescindible tomar medidas de seguridad para protegerla información almacenada en estos dispositivos”, recalca Eusebio Nieva.  Por este motivo, desde la compañía destacanque, si se tiene alguna sospecha de que una aplicación instalada en el teléfonopuede estar infectada, es fundamental desinstalarla rápidamente, así comorevisar todas las facturas para comprobar si se ha producido algún tipo decobro como consecuencia de una subscripción y, por ende, dar de baja esteservicio.

Por otra parte, los expertos de Check Point aconsejan implementar herramientasde ciberseguridad en los dispositivos, ya que la prevención es la mejor manerade evitar riesgos. La compañía cuenta con SandBlast Mobile, una solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection. Al revisar y controlar todo el tráfico de red del dispositivo,SandBlast Mobile evita los ataques de robo de información en todas lasaplicaciones, correo electrónico, SMS, iMessage y aplicaciones de mensajeríainstantánea. Esta solución, además, evita tanto el acceso a sitios webmaliciosos como el acceso y comunicación del dispositivo con botnets, para locual valida el tráfico en el propio dispositivo sin enrutar los datos a travésde un gateway corporativo.