Los programas de carga maliciosos capaces de troyanizar las aplicaciones de Android se comercializan en la clandestinidad criminal por hasta $ 20,000 como una forma de evadir las defensas de Google Play Store.
“Las categorías de aplicaciones más populares para ocultar malware y software no deseado incluyen rastreadores de criptomonedas, aplicaciones financieras, escáneres de códigos QR e incluso aplicaciones de citas”, Kaspersky dicho en un nuevo informe basado en mensajes publicados en foros en línea entre 2019 y 2023.
Las aplicaciones cuentagotas son el medio principal para los actores de amenazas que buscan infiltrar malware a través de Google Play Store. Estas aplicaciones a menudo se hacen pasar por aplicaciones aparentemente inocuas, con actualizaciones maliciosas introducidas al finalizar el proceso de revisión y las aplicaciones han acumulado una base de usuarios significativa.
Esto se logra mediante el uso de un programa de carga que es responsable de inyectar malware en una aplicación limpia, que luego está disponible para su descarga desde el mercado de aplicaciones. Se solicita a los usuarios que instalan la aplicación manipulada que le otorguen permisos intrusivos para facilitar actividades maliciosas.
Las aplicaciones, en algunos casos, también incorporan funciones antianálisis para detectar si se están depurando o instalando en un entorno aislado y, de ser así, detener sus operaciones en los dispositivos comprometidos.
Como otra opción, los actores de amenazas pueden comprar una cuenta de desarrollador de Google Play, ya sea pirateada o creada recientemente por los vendedores, por entre $ 60 y $ 200, según la cantidad de aplicaciones ya publicadas y el número de descargas.
Las cuentas de desarrolladores de aplicaciones que carecen de contraseñas seguras o protecciones de autenticación de dos factores (2FA) pueden descifrarse y ponerse a la venta de manera trivial, lo que permite que otros actores carguen malware en las aplicaciones existentes.
Una tercera alternativa es el uso de servicios de vinculación de APK, que se encargan de ocultar un archivo APK malicioso en una aplicación legítima, para distribuir el malware a través de textos de phishing y sitios web dudosos que anuncian juegos y software pirateados.
Los servicios de vinculación, a diferencia de los cargadores, cuestan menos debido al hecho de que las aplicaciones envenenadas no están disponibles a través de Google Play Store. En particular, la técnica se ha utilizado para entregar troyanos bancarios de Android como SOVA y Xenomorph en el pasado.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Algunos otros servicios ilícitos que se ofrecen a la venta en los mercados de ciberdelincuencia incluyen ofuscación de malware ($30), inyecciones web ($25-$80) y servidores privados virtuales ($ 300), el último de los cuales se puede usar para controlar dispositivos infectados o para redirigir el tráfico de usuarios.
Además, los atacantes pueden comprar instalaciones para sus aplicaciones de Android (legítimas o no) a través de Google Ads por $0,5 en promedio. Los costos de instalación varían según el país de destino.
Para mitigar los riesgos que plantea el malware de Android, se recomienda a los usuarios que se abstengan de instalar aplicaciones de fuentes desconocidas, analicen los permisos de las aplicaciones y mantengan sus dispositivos actualizados.
About the Author
