Se ha observado un nuevo conjunto de aplicaciones troyanizadas que se difunden a través de Google Play Store distribuyendo el notorio malware Joker en dispositivos Android comprometidos.
Joker, un delincuente reincidente, se refiere a una clase de aplicaciones dañinas que se utilizan para la facturación y el fraude de SMS, al mismo tiempo que realizan una serie de acciones elegidas por un pirata informático malintencionado, como robar mensajes de texto, listas de contactos e información del dispositivo.
A pesar de los intentos continuos por parte de Google para ampliar sus defensas, las aplicaciones se han iterado continuamente para buscar brechas y pasar desapercibidas a la tienda de aplicaciones.
“Por lo general, se difunden en Google Play, donde los estafadores descargan aplicaciones legítimas de la tienda, les agregan un código malicioso y las vuelven a cargar en la tienda con un nombre diferente”, dijo el investigador de Kaspersky Igor Golovin. dicho en un informe publicado la semana pasada.
Las aplicaciones troyanizadas, que reemplazan a sus contrapartes eliminadas, a menudo aparecen como aplicaciones de mensajería, seguimiento de salud y escáner de PDF que, una vez instaladas, solicitan permisos para acceder a mensajes de texto y notificaciones, abusando de ellos para suscribir a los usuarios a servicios premium.
Un truco disimulado utilizado por Joker para eludir el proceso de investigación de Google Play es hacer que su carga útil maliciosa esté “inactiva” y solo active sus funciones después de que las aplicaciones se hayan activado en Play Store.
Tres de las aplicaciones infectadas con Joker detectadas por Kaspersky hasta finales de febrero de 2022 se enumeran a continuación. Aunque se han eliminado de Google Play, siguen estando disponibles a través de proveedores de aplicaciones de terceros.
- Mensaje de estilo (com.stylelacat.messagearound),
- Aplicación de presión arterial (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health), y
- Escáner PDF de la cámara (com.jiao.hdcam.docscanner)
Esta no es la primera vez que se descubren troyanos de suscripción en los mercados de aplicaciones. El año pasado, las aplicaciones para la tienda de aplicaciones APKPure y un mod de WhatsApp ampliamente utilizado se encontraron comprometidos con el malware llamado Triada.
Luego, en septiembre de 2021, Zimperium reveló un plan agresivo para ganar dinero llamado GriftHorse, y lo siguió con otro caso de abuso de servicio premium llamado Dark Herring a principios de enero.
“Los troyanos de suscripción pueden eludir la detección de bots en los sitios web de servicios pagos y, a veces, suscriben a los usuarios a los servicios inexistentes de los estafadores”, dijo Golovin.
“Para evitar suscripciones no deseadas, evite instalar aplicaciones de fuentes no oficiales, que es la fuente más frecuente de malware”.
Incluso cuando descargan aplicaciones de las tiendas de aplicaciones oficiales, se recomienda a los usuarios que lean las reseñas, verifiquen la legitimidad de los desarrolladores, los términos de uso y solo otorguen los permisos que sean esenciales para realizar las funciones previstas.
About the Author
