Play Protect de Google ha detectado y eliminado aproximadamente 1.700 aplicaciones infectadas con el malware Joker para Android (también conocido como Pan) de la Play Store, desde que la compañía comenzó a rastrearlo a principios de 2017.
Varias aplicaciones maliciosas lograron ingresar a Play Store cómo lo descubrieron los investigadores de seguridad de CSIS Security Group que encontraron 24 aplicaciones con más de 472,000 descargas en total durante septiembre de 2019.
"El volumen puro parece ser el enfoque preferido para los desarrolladores de Pan", dice Google. "En diferentes momentos, hemos visto tres o más variantes activas usando diferentes enfoques o apuntando a diferentes operadores. [..] En los momentos de alta actividad, hemos visto hasta 23 aplicaciones diferentes de esta familia enviadas a Play en un día".
Malware utilizado para fraude de facturación
Dichas aplicaciones maliciosas de Android fueron diseñadas originalmente por los creadores de Joker para realizar fraudes por SMS, pero desde entonces han "abandonado en gran medida esto para la facturación WAP tras la introducción de nuevas políticas de Play que restringen el uso del permiso SEND_SMS y una mayor cobertura de Google Play Protect".
Las versiones más nuevas del malware Joker se han trasladado a otro tipo de fraude de facturación móvil denominado fraude telefónico. Usando esta técnica, los operadores del malware utilizan aplicaciones maliciosas para engañar a las víctimas para que se suscriban o compren varios tipos de contenido a través de su factura de teléfono móvil.
"Los dos métodos de facturación detallados anteriormente proporcionan la verificación del dispositivo, pero no la verificación del usuario", explican Alec Guertin y Vadim Kotov del Equipo de Seguridad y Privacidad de Android .
Para poder automatizar el proceso de facturación malicioso sin necesidad de ninguna interacción del usuario, los autores de malware aprovechan los clics inyectados, los analizadores HTML personalizados y los receptores de SMS.
En muchos casos, los usuarios que infectan sus dispositivos Android con malware Joker también descubrirían que las características de la aplicación no coincidirían con la aplicación que instalaron.
Las aplicaciones Joker también vendrían con frecuencia sin otra funcionalidad más allá del proceso de facturación y, en algunos casos, simplemente serían clones de otras aplicaciones populares en Google Play Store.
"Google Play Protect analiza más de 50 mil millones de aplicaciones todos los días en más de dos mil millones de dispositivos", según el informe de revisión anual de seguridad y privacidad de 2018 de Android publicado en marzo de 2019.
"Al analizar y revisar más de 500,000 aplicaciones diarias en su proceso de investigación basado en la nube, Google Play Protect ayuda a evitar que las aplicaciones dañinas lleguen a Google Play".
Como lo reveló Google en la revisión anual de Google Play Store de 2018, rechazaron un 55% más de aplicaciones de Android que en 2017 y aumentaron la tasa de suspensión de aplicaciones en aproximadamente un 66% año tras año.
Solo para poner las cosas en perspectiva, mientras que la revisión anual de 2018 no proporciona el número exacto de aplicaciones maliciosas eliminadas, la de 2017 dijo que la compañía " eliminó más de 700,000 aplicaciones que violaron las políticas de Google Play, un 70% más que las aplicaciones derribado en 2016 ".
Los autores de malware Joker se ven obligados a adaptarse
Los creadores del malware Joker se vieron continuamente obligados a cambiar de táctica para buscar huecos en las defensas de Play Store a medida que Google introducía nuevas políticas y Google Play Protect escalaba las defensas.
"En algún momento han utilizado casi todas las técnicas de ocultación y ofuscación bajo el sol en un intento de pasar desapercibidas", dice Google.
"Muchas de estas muestras parecen estar diseñadas específicamente para intentar ingresar a Play Store sin ser detectadas y no se ven en ningún otro lado".
En el informe completo de Google están disponibles más detalles sobre el funcionamiento interno del malware Joker (también conocido como Pan), así como indicadores de compromiso, incluidos nombres de paquetes y hashes de muestras de malware .
https://security.googleblog.com/2020/01/pha-family-highlights-bread-and-friends.html
Imagen: noticiasetecnologia.com
