Symantec descubre falsas aplicaciones con malware en Play Store


La firma de seguridad informática Symantec, ha revelado la existencia de falsas aplicaciones con malware en Play Store, las cuales podrían comprometer la seguridad de los dispositivos y agregarlos a una botnet, desde donde potencialmente se podrían realizar ataques DDoS.

Son 8 las apps infectadas con malware en Play Store


De acuerdo con Symantec, la compañía ha detectado 8 aplicaciones infectadas con el malware Sockbot en la tienda de aplicaciones para Android. Este malware tendría la capacidad de hacerse pasar por apps en Play Store y después agregar a los dispositivos móviles donde se instalen, a una botnet.

Symantec revela también que la base de instalaciones oscila entre 600,000 y 2.6 millones de dispositivos. Todo indica que el malware parece estar enfocado a los usuarios de android en los Estados Unidos, no obstante que también se tienen reportes de su presencia en otros países como Alemania, Brasil, Ucrania y Rusia.

¿Cuál es el objetivo de estas apps falsas en Play Store?

 

Según lo informado, el objetivo legítimo de estas aplicaciones es el de modificar la apariencia de los personajes en Minecraft: Pocket Edition (PE). Una vez que la app falsa se instala en el dispositivo, el malware se ejecuta en segundo plano y a continuación habilita una funcionalidad de ataque sofisticado y bien disfrazado.

 ​ La compañía revela que al configurar un análisis de red de este malware cuando se ejecuta, se encontró que sus actividades aparentemente están destinadas a generar ingresos publicitarios ilegítimos. También se menciona que la aplicación se conecta a un servidor de comando y control (C&C) en el puerto 9001, el cual a su vez solicita que la aplicación abra un socket utilizando SOCKS y luego espere una conexión desde una IP especifica en un puerto determinado.

A continuación se emite un comando para conectarse a un servidor de destino y cuando la app se conecta a este servidor, recibe una lista de anuncios y metadatos asociados. Utilizando este mismo mecanismo de proxy SOCKS, básicamente lo que se hace es ordenarle a la aplicación que se conecte a un servidor de anuncios y que desde ahí inicie solicitudes de publicidad.

Symantec también advierte que no hay funcionalidad dentro de la aplicación para mostrar anuncios. La tipología de proxy es además altamente flexible, por lo que podría extenderse con facilidad para aprovechar otras vulnerabilidades basadas en red y potencialmente comprometer la seguridad de los dispositivos. Junto con la posibilidad de permitir ataques arbitrarios, el malware podría aprovechar la vulnerabilidad para montar un ataque de denegación de servicio (DDoS).

Las apps falsas ya fueron eliminadas


Finalmente Symantec reconoce que existe una única cuenta de desarrollador llamada FunBuster que esta vinculada a las apps infectadas con malware en Play Store. También indica que el código malicioso se encuentra ofuscado y las cadenas clave cifradas, lo que imposibilita cualquier forma de detección a nivel base.

Google fue informado de estas apps falsas en Play Store desde el 6 de octubre pasado y ya se tiene confirmación de que las ha eliminado completamente de la tienda de aplicaciones. A pesar de ello sigue siendo notorio cómo cada vez son más sofisticados los métodos que se utilizan para introducir el malware en android.


No hay comentarios.