Más de 500 mil usuarios de Android resultaron víctimas de ataques de falsas apps de Google Play con funcionalidades de phishing que extraían credenciales de Facebook. ESET detecta estos troyanos como Android/Spy.Feabme.A.
Análisis de malware realizado por: Lukáš Štefanko
Con una cantidad de entre 500.000 y 1.000.000 instalaciones, Cowboy Adventure era un juego bastante popular en Google Play Store. La popularidad en sí no es extraordinaria; sin embargo, el hecho de que los desarrolladores de la app también la usaran como herramienta para extraer credenciales de Facebook no pasó tan desapercibido. Éste fue uno de los dos juegos en los que los investigadores de malware de ESET detectaron la funcionalidad maliciosa. El otro fue Jump Chess.
A diferencia de otros programas de malware para Android, como las falsas apps de Minecraft que analizamos previamente, estas contenían la funcionalidad legítima (eran juegos en realidad) además de incluir el fraude. El problema es que, cuando se abre la app, aparece una ventana para iniciar sesión en Facebook. Si la víctima cae en la estafa, sus credenciales de Facebook se envían al servidor del atacante.
Esa era la mala noticia. La última versión de Cowboy Adventure cuando Google la quitó de la tienda oficial la semana pasada era 1.3. Este juego con un troyano había estado disponible para su descarga desde Google Play al menos desde el 16 de abril de 2015, cuando se actualizó la app. No sabemos con certeza si las versiones anteriores del juego también contenían la funcionalidad de phishing para Facebook ni cuántos usuarios llegaron a ingresar sus credenciales.
Jump Chess (del mismo desarrollador) estuvo disponible desde el 14 de abril de 2015, pero afortunadamente no tuvo tanto éxito como Cowboy Adventure, ya que solo alcanzó entre 1.000 y 5.000 instalaciones.
La buena noticia es que Google quitó las dos apps de la tienda y también advierte sobre el peligro de instalarlas en dispositivos Android:
Los mecanismos de seguridad de Google han mejorado, lo que disminuyó el riesgo de que los usuarios de Android se infecten con malware.
Otra buena noticia es que, aunque las víctimas potenciales pueden haber llegado a un millón, muchas de esas personas no cayeron en la trampa. Muchos expresaron sus opiniones negativas en los comentarios de la página de la app:
Nuestro análisis de estos juegos maliciosos demuestra que las aplicaciones se escribieron en C# y se utilizó Mono Framework. El código de phishing está ubicado dentro de TinkerAccountLibrary.dll. La app se comunica con su servidor de C&C a través de HTTPS y la dirección a la que envía las credenciales recopiladas (también conocida como "drop zone", o punto de entrega) se carga desde el servidor en forma dinámica.
Este ejemplo de malware para Android nos recuerda algunos principios básicos que nos ayudan a mantenernos seguros mientras usamos la plataforma móvil de Google:
- Siempre descarga apps desde la tienda oficial de Google Play en lugar de tiendas alternativas u otras fuentes desconocidas. Aunque Google Play no esté 100% libre de malware, cuenta con fuertes mecanismos de seguridad para mantener alejados a los troyanos.
- Solo descarga apps de desarrolladores confiables, y siempre verifica los puntajes y los comentarios. Los usuarios se dieron cuenta rápidamente de que Cowboy Adventure era una estafa.
- Tómate un minuto para leer los permisos que te pide la app durante la instalación.
- Nunca subestimes la necesidad de tener un explorador antimalware en tu teléfono Android. ESET Mobile Security detecta los juegos maliciosos como Android/Spy.Feabme.A.
Sigue leyendo: 8 consejos para determinar si una aplicación para Android es legítima
ACTUALIZACIÓN: luego de hacer más pruebas, ya que este artículo estaba en camino a los medios, descubrimos que Trustlook también publicó un análisis de este troyano. Pueden acceder a su post para detalles técnicos adicionales.