Se descubrió que un juego de terror de Android con más de 50,000 instalaciones exhibe un comportamiento malicioso, roba las credenciales de Google y Facebook de los jugadores y filtra sus datos después de iniciar sesión en sus cuentas.
El juego se llama Scary Granny ZOMBYE Mod: The Horror Game 2019 (Scary Granny) y está diseñado para aprovechar el éxito de otro juego de Android llamado Granny que actualmente cuenta con más de 100 millones de instalaciones.
Si bien Scary Granny es un juego totalmente funcional que en realidad mantendría a los jugadores jugando para evitar cualquier sospecha y aumentar las banderas rojas, se eliminó el 27 de junio de la Play Store de Google - enlace A Google Cache AQUÍ - después de que los investigadores descubrieron su phishing y datos las habilidades de exfiltración lo reportaron a Google.
Para ocultar el lado "horroroso" de la aplicación, el juego podría retrasar el comportamiento malicioso y activarlo casi dos días después de su instalación, esto comentado por el equipo de investigación de Wandera.
La aplicación podría también activar el módulo de robo de información si solo detecta que se ejecuta en versiones antiguas de Android. Los usuarios de android que utilizaban versiones actuales de android no se veían afectados al robo de información.
La aplicación adicionalmente se mantenía con persistencia al solicitar al usuario permisos para que este se ejecutara de manera automática si el teléfono o tablet era reiniciado.
Inspeccionando la aplicación el juego podía loguearse con las cuentas de los usuarios, gracias a un navegador embebido en el juego, logrando así robar información.
Para poder evadir cualquier tipo de detección, la aplicación realiza este scraping de cuenta utilizando clases ofuscadas dentro del paquete con el nombre "com.googles.android.gms", que se parece mucho al nombre del paquete legítimo de Google "com.google.android.gms".
Además de este paquete de Google, hay un paquete de Facebook que se llama "com.facebook.core" que, al examinar el código de la aplicación, parece tener una funcionalidad similar. Puede iniciar sesión con las credenciales de phishing de Facebook y robar la cuenta del usuario y la información de cookies.
Después del robo exitoso de credenciales de las víctimas de google Scary Granny comenzará a colectar información de la cuenta como, correos de recuperación, números telefónicos, cumpleaños, cookies y tokens.
Versiones
Wandera analizó dos versiones de esta aplicación. El primero se bloqueaba constantemente y era básicamente inutilizable debido a que la página de phishing persistente se mostraba en cualquier aplicación, incluso durante el juego e incluso después de reiniciar el dispositivo. También se pudo ver dentro del código que la aplicación tenía la capacidad de robar los datos de las cuentas de Google y Facebook, pero no estaba realizando estas transacciones debido a la falla constante. La nueva versión de la aplicación no parece tener estos problemas. Se pudo jugar el juego durante un par de días en algunos casos antes de que se mostraran los anuncios.
Con más de 50,000 instalaciones y una revisión de 4 estrellas, el juego claramente tiene algo de atractivo. Cuando comenzó la investigación, la aplicación tenía poco más de 1,000 descargas y en tres semanas ese número aumentó a 50,000. Durante la investigación, Wandera jugó al juego y, a diferencia de algunos programas maliciosos, integrados en aplicaciones con una experiencia de usuario terrible y una interfaz muy básica, ¡la aplicación realmente funciona! Es evidente que los desarrolladores han hecho un gran esfuerzo para crear un juego totalmente funcional en el que usted, el jugador principal, se encuentre en una casa huyendo de los zombis y tratando de encontrar vida y armas adicionales.
