Otro grupo de aplicaciones maliciosas ha logrado hacerse su camino hacia la tienda oficial de Android, Google Play Store. Detectadas por ESET como Android/TrojanDropper.Agent.BKY, estas apps forman una nueva familia de malware para Android con capacidades de ejecución en múltiples etapas y la posibilidad de demorar su actividad maliciosa.
Hemos descubierto ocho aplicaciones de esta familia de malware y notificamos al equipo de seguridad de Google sobre ellas; las ocho fueron eliminadas de la tienda. Los usuarios que tengan Google Play Protect habilitado estarán protegidos por este mecanismo.
Ninguna ha alcanzado más que unos pocos cientos de descargas. Sin embargo, sus funcionalidades avanzadas para evitar la detección hacen a esta familia de malware interesante para analizar.
Funcionalidades anti detección
Estas muestras tienen una arquitectura de ejecución en múltiples etapas y usan cifrado, en ambos casos para permanecer fuera del radar.
Tras ser descargadas e instaladas, no solicitan ningún permiso sospechoso e incluso imitan la actividad que el usuario esperaría de una aplicación legítima.
La propia aplicación maliciosa descifra y ejecuta su payload, es decir, el payload de la primera fase. Este es el encargado de descifrar y ejecutar el payload de la segunda fase, que está almacenado entre los recursos de la aplicación inicial descargada desde Google Play. Estos pasos son invisibles para el usuario y funcionan como medidas de ofuscación.
El payload de la segunda fase contiene una URL hardcodeada, desde la cual descarga otra aplicación maliciosa (es decir, el payload de la tercera fase) sin que la víctima lo note. Luego de una demora predefinida de aproximadamente cinco minutos, se le pide al usuario que instale la aplicación descargada.
La app descargada por el payload de la segunda fase está camuflada como el conocido software Adobe Flash Player o como algo que suena legítimo pero es completamente ficticio, por ejemplo "Android Update" o "Adobe Update". En cualquier caso, el propósito de esta app es descargar el payload final y obtener todos los permisos que necesita para ejecutar sus acciones maliciosas.
Una vez instalada y con los permisos otorgados, la aplicación maliciosa que funciona como payload de tercera fase descifra y ejecuta el payload de la cuarta fase, el final.
En todos los casos que investigamos, el payload final era un troyano bancario para dispositivos móviles. Una vez instalado, tiene el comportamiento típico de este tipo de amenaza: le presenta al usuario falsos formularios de login para robarle sus credenciales o datos de su tarjeta de crédito.
Una de las apps maliciosas descarga su payload final usando el acortador de URL bit.ly. Gracias a esto, pudimos obtener estadísticas de descarga: hasta el 14 de noviembre de 2017, el enlace había sido accedido cerca de 3.000 veces, y en la mayoría de los casos por usuarios de Los Países Bajos.
Dos de las muestras más recientes de Android/TrojanDropper.Agent.BKY fueron descubiertas descargando MazarBot, un notorio troyano bancario, o bien spyware.
Dada su naturaleza, este downloader puede ejecutar cualquier payload que los cibercriminales elijan, siempre y cuando no sea detectado por el mecanismo Google Protect.
Cómo librarse de esta amenaza
Si has descargado alguna de estas aplicaciones, necesitas desactivar los derechos de administrador del payload instalado con ella, luego desinstalar el que se instaló sigilosamente, y finlmente desinstalar la aplicación que habías descargado desde Google Play Store:
- Para desactivar los derechos de administrador del payload instalado, las opciones varían según tu versión de Android pero deberías llegar a la lista de administradores. Por ejemplo, Ajustes → Pantalla de bloqueo y seguridad → Otros ajustes de seguridad → Administradores de dispositivo y busca Adobe Flash Player, Adobe Update o Android Update.
- Para desisntalar el payload instalado, ve a Ajustes → Aplicaciones → Administrador de aplicaciones y busca Adobe Flash Player, Adobe Update o Android Update para desintalarlas.
- Para desinstalar la aplicación maliciosa descargada desde Google Play, ve a Ajustes → Aplicaciones → Administrador de aplicaciones y busca las que tengan estos nombres: MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн o Слоты Онлайн Клуб Игровые Автоматы.
Cómo mantenerte protegido
Gracias a sus funcionalidades de ofuscación, los downloaders de múltiples etapas tienen más chances de infiltrarse en tiendas oficiales que el malware para Android tradicional.
Para protegerte, no deberías confiar solo en las protecciones de la tienda; es crucial que prestes atención a los comentarios y valoraciones de los usuarios, a los permisos que te solicitan, y que uses una solución de seguridad para móviles capaz de detectar amenazas proactivamente.
IoCs |
|||
---|---|---|---|
Nombre del paquete | Disponible | Instalaciones | Hash |
com.fleeeishei.erabladmounsem | 16 de octubre de 2017 | 1,000 – 5,000 | 9AB5A05BC3C8F1931A3A49278E18D2116F529704 |
com.softmuiiurket.cleanerforandroid | 3 de octubre de 2017 | 50 - 100 | 2E47C816A517548A0FBF809324D63868708D00D0 |
com.expjhvjhertsoft.bestrambooster | 29 de septiembre de 2017 | 500 – 1,000 | DE64139E6E91AC0DDE755D2EF49D60251984652F |
gotov.games.toppro | 7 de octubre de 2017 | 1,000 – 5,000 | 6AB844C8FD654AAEC29DAC095214F4430012EE0E |
slots.forgame.vul | 6 de octubre de 2017 | 10 - 50 | C8DD6815F30367695938A7613C11E029055279A2 |
com.bucholregaum.hampelpa | 9 de octubre de 2017 | 100 - 500 | 47442BFDFBC0FB350B8B30271C310FE44FFB119A |
com.peridesuramant.worldnews | 19 de octubre de 2017 | 100 - 500 | 604E6DCDF1FA1F7B5A85892AC3761BED81405BF6 |
com.peridesurrramant.worldnews | 20 de octubre de 2017 | 100 - 500 | 532079B31E3ACEF2D71C75B31D77480304B2F7B9 |
Dominios hardcodeados que alojan enlaces a los payloads de tercera fase |
---|
loaderclientarea24.ru |
loaderclientarea22.ru |
loaderclientarea20.ru |
loaderclientarea15.ru |
loaderclientarea13.ru |