Se han descubierto cinco aplicaciones maliciosas de Android con cuentagotas con más de 130 000 instalaciones acumuladas en Google Play Store que distribuyen troyanos bancarios como SharkBot y Vultur, que son capaces de robar datos financieros y realizar fraudes en el dispositivo.
«Estos cuentagotas continúan la evolución incesante de aplicaciones maliciosas que se cuelan en la tienda oficial», dijo la empresa holandesa de seguridad móvil ThreatFabric a The Hacker News en un comunicado.
«Esta evolución incluye seguir las políticas recientemente introducidas y hacerse pasar por administradores de archivos y superar las limitaciones mediante la carga lateral de la carga maliciosa a través del navegador web».
objetivos de estos cuentagotas incluye 231 aplicaciones bancarias y de billetera de criptomonedas de instituciones financieras en Italia, Reino Unido, Alemania, España, Polonia, Austria, EE. UU., Australia, Francia y los Países Bajos.
Las aplicaciones dropper en las tiendas de aplicaciones oficiales como Google Play se han convertido cada vez más en una técnica popular y eficiente para distribuir malware bancario a usuarios desprevenidos, incluso cuando los actores de amenazas detrás de esas campañas refinan continuamente sus tácticas para omitir restricciones impuesto por Google.
La lista de aplicaciones maliciosas, cuatro de las cuales todavía están disponibles en el mercado digital, se encuentra a continuación:
La última ola de ataques SharkBot dirigidos a los usuarios bancarios italianos desde principios de octubre de 2022 implicó el uso de un cuentagotas que se hizo pasar por un para determinar el código fiscal en el país («Codice Fiscale 2022»).
Si bien la Política del programa para desarrolladores de Google limita el uso de la Permiso REQUEST_INSTALL_PACKAGES Para evitar que se abuse de él para instalar paquetes de aplicaciones arbitrarios, el cuentagotas, una vez lanzado, sortea esta barrera al abrir una página de tienda falsa de Google Play que se hace pasar por la lista de aplicaciones, lo que lleva a la descarga del malware bajo la apariencia de una actualización.
La externalización de la recuperación de malware al navegador no es el único método adoptado por los delincuentes. En otro caso detectado por ThreatFabric, el cuentagotas se hizo pasar por una aplicación de administrador de archivos que, según la política revisada de Google, es una categoría que puede tener el permiso REQUEST_INSTALL_PACKAGES.
También se detectaron tres cuentagotas que ofrecían las funciones anunciadas, pero también venían con una función encubierta que incitaba a los usuarios a instalar una actualización al abrir las aplicaciones y les otorgaba permiso para instalar aplicaciones de fuentes desconocidas, lo que condujo a la entrega de Vultur.
La nueva variante del troyano se destaca por agregar capacidades para registrar ampliamente los elementos de la interfaz de usuario y los eventos de interacción (por ejemplo, clics, gestos, etc.), que ThreatFabric dijo que podría ser una solución al uso de la Bandera de ventana FLAG_SECURE por aplicaciones bancarias para evitar que se capturen en capturas de pantalla.
Los hallazgos de ThreatFabric también llegan como Cyble descubierto una versión mejorada del Troyano Android Drinik que apunta a 18 bancos indios haciéndose pasar por la aplicación oficial del departamento de impuestos del país para desviar información personal a través del abuso de la API de servicios de accesibilidad.
«La distribución a través de cuentagotas en Google Play sigue siendo la forma más ‘asequible’ y escalable de llegar a las víctimas para la mayoría de los actores de diferentes niveles», señaló la compañía.
«Si bien las tácticas sofisticadas, como la entrega de ataques orientada al teléfono, requieren más recursos y son difíciles de escalar, los droppers en las tiendas oficiales y de terceros permiten que los actores de amenazas lleguen a una amplia audiencia desprevenida con esfuerzos razonables».