Google eliminó 50 aplicaciones maliciosas de la tienda oficial Play Store después de que los expertos descubrieran un nuevo malware, llamado ExpensiveWall, eludió las verificaciones de Google Bouncer.
El malware ExpensiveWall se encontró en la aplicación Lovely Wallpaper, incluye una carga útil que registra a las víctimas para los servicios en línea de pagos y envía mensajes SMS premium desde sus dispositivos. El código malicioso se descubrió en 50 aplicaciones de Play Store que fueron descargadas entre 1 millón y 4,2 millones de usuarios. “El equipo de investigación de amenazas móviles de Check Point identificó una nueva variante de un malware de Android que envía mensajes SMS fraudulentos y carga cuentas de usuarios de servicios falsos sin su conocimiento”, afirma el análisis compartido por los investigadores de Check Point. “La nueva variedad de malware se denomina ExpensiveWall, después de que una de las aplicaciones que utiliza para infectar los dispositivos, Lovely Wallpaper”.
El malware no es totalmente nuevo para los expertos en seguridad, los investigadores de malware con McAfee lo descubrieron por primera vez en Play Store en enero, pero resaltaron que las cargas útiles tienen diferencias significativas.
Los creadores de ExpensiveWall cifraron y comprimieron el código malicioso para evitar los procesos de verificación automatizada de Google, ¡y tuvieron éxito!
Una vez que la aplicación es instalada por las víctimas, solicita el permiso para acceder a Internet y enviar y recibir mensajes SMS. Entonces ExpensiveWall envía de nuevo a la información del microteléfono del servidor de C & C, incluyendo su localización, direcciones del MAC e IP, IMSI, y números de IMEI.
El servidor C & C, a su vez, envía al malware a una URL que se abre en una ventana WebView integrada y descarga el código JavaScript utilizado para enviar los mensajes SMS premium.
Según los investigadores de Check Point, el código malicioso se difunde a diferentes aplicaciones como un kit de desarrollo de software llamado GTK.
“Después de analizar diferentes muestras del malware, los investigadores de amenazas móviles de Check Point creen que ExpensiveWall se distribuye a diferentes aplicaciones como un SDK llamado” gtk “, que los desarrolladores integran en sus propias aplicaciones. Existen tres versiones de aplicaciones que contienen el código malicioso. La primera es la versión sin embalaje, que se descubrió a principios de este año. La segunda es la versión empaquetada, que está siendo discutida aquí, y la tercera contiene el código, pero no lo usa activamente “, continúa el análisis.
Check Point reportó el descubrimiento a Google el 7 de agosto de 2017, y la compañía eliminó rápidamente las aplicaciones maliciosas de Google Play Store. Desafortunadamente, incluso después de que las aplicaciones afectadas fueron eliminadas de la tienda, en cuestión de días se detectó otra muestra en Google Play, esta vez probablemente infectó más de 5.000 dispositivos antes de ser eliminado cuatro días después”.
Los expertos dijeron que Google no recibió advertencias sobre la infección de malware que fueron publicadas por los usuarios que descargaron las aplicaciones en la sección de comentarios. Una de las aplicaciones infectadas recibió un gran número de comentarios negativos de los usuarios indignados que notaron el comportamiento malicioso.
Desafortunadamente este tipo de incidentes se está volviendo frecuente, en junio, dos veces al mes, Google eliminó las aplicaciones malintencionadas infectadas con los troyanos Ztorg que permitían a los atacantes atacar los dispositivos de destino.
En abril, millones de usuarios que buscan obtener actualizaciones de software descargaron una aplicación que ocultaba un spyware llamado SMSVova a través de la tienda oficial de Google Play.
Se ha estimado que la falsa aplicación que oculta el spyware SMSVova se ha cargado en Google Play en 2014 y se ha descargado entre 1.000.000 y 5.000.000 de veces.
Claramente, Google debe mejorar sus controles para evitar nuevos incidentes.
