Se descubrió un conjunto de cuatro aplicaciones de Android lanzadas por el mismo desarrollador que dirigía a las víctimas a sitios web maliciosos como parte de una campaña de robo de información y adware.
Las aplicaciones, publicadas por un desarrollador llamado Grupo de aplicaciones móviles y actualmente disponible en Play Store, se han descargado colectivamente más de un millón de veces.
De acuerdo a Malwarebyteslos sitios web están diseñados para generar ingresos a través de anuncios de pago por clic y, lo que es peor, solicitan a los usuarios que instalen aplicaciones más limpias en sus teléfonos con el objetivo de implementar malware adicional.
La lista de aplicaciones es la siguiente:
- Remitente de la aplicación Bluetooth (com.bluetooth.share.app): más de 50 000 descargas
- Conexión automática de Bluetooth (com.bluetooth.autoconnect.anybtdevices): más de 1 000 000 de descargas
- Controlador: Bluetooth, Wi-Fi, USB (com.driver.finder.bluetooth.wifi.usb) – Más de 10 000 descargas
- Transferencia móvil: interruptor inteligente (com.mobile.faster.transfer.smart.switch) – 1,000+ descargas
No sorprende que las aplicaciones maliciosas hayan ideado nuevas formas de eludir las protecciones de seguridad de Google Play Store. Una de las tácticas más populares adoptadas por los actores de amenazas es introducir demoras basadas en el tiempo para ocultar su comportamiento malicioso.
El análisis de Malwarebytes encontró que las aplicaciones tenían un período de espera de aproximadamente cuatro días antes de abrir el primer sitio de phishing en el navegador Chrome y luego iniciar más pestañas cada dos horas.
Las aplicaciones son parte de un malware más amplio. operación llamó anuncios ocultosque ha estado activo desde al menos junio de 2019 y tiene un historial de obtención de ingresos ilícitamente al redirigir a los usuarios a los anuncios.
Los hallazgos también se producen cuando los investigadores de Guardio Labs revelaron detalles de una campaña de publicidad maliciosa denominada Colores inactivos que aprovecha las extensiones no autorizadas de Google Chrome y Microsoft Edge para secuestrar las consultas de búsqueda de los usuarios a un dominio controlado por el actor.