Los investigadores han descubierto un nuevo conjunto de aplicaciones fraudulentas de Android en la tienda de Google Play que se encontraron para secuestrar notificaciones de mensajes SMS para llevar a cabo fraude de facturación.
Las aplicaciones en cuestión se dirigieron principalmente a los usuarios en el suroeste de Asia y la Península Arábiga, atrayendo un total de 700.000 descargas antes de que fueran descubiertos y eliminados de la plataforma.
Los hallazgos fueron reportados de forma independiente por las empresas de ciberseguridad Trend Micro y McAfee.
"Haciéndose pasar por editores de fotos, fondos de pantalla, rompecabezas, diseños de teclado y otras aplicaciones relacionadas con cámaras, el malware incrustado en estas aplicaciones fraudulentas secuestra las notificaciones de mensajes SMS y luego realiza compras no autorizadas", dijeron investigadores de McAfee en una redacción el lunes.
Las aplicaciones fraudulentas pertenecen al llamado malware"Joker"(también conocido como Pan), que se ha encontrado para colarse repetidamente más allá de las defensas de Google Play en los últimos cuatro años, lo que resulta en Google eliminando no menos de 1.700 aplicaciones infectadas de la Play Store a principios de 2020. McAfee, sin embargo, está rastreando la amenaza bajo un apodo separado llamado "Etinu".
El malware es famoso por perpetrar fraude de facturación y sus capacidades de spyware, incluyendo el robo de mensajes SMS, listas de contactos, e información del dispositivo. Los autores de malware suelen emplear una técnica llamada control de versiones, que se refiere a la carga de una versión limpia de la aplicación en play store para crear confianza entre los usuarios y luego agregar código malicioso furtivamente en una etapa posterior a través de actualizaciones de la aplicación, en un intento de deslizarse a través del proceso de revisión de la aplicación.
El código adicional inyectado sirve como la carga útil de la primera etapa, que enmascara aparentemente inocua. PNG y establece con un servidor de comando y control (C2) para recuperar una clave secreta que se usa para descifrar el archivo en un cargador. Esta carga útil provisional carga útil a continuación, carga la segunda carga útil cifrada que en última instancia se descifra para instalar el malware.
La investigación de McAfee sobre los servidores C2 reveló la información personal de los usuarios, incluido el operador, el número de teléfono, el mensaje SMS, la dirección IP, el país, el estado de la red, junto con las suscripciones de renovación automática.
La lista de nueve aplicaciones está a continuación -
- Fondo de pantalla del teclado (com.studio.keypaper2021)
- PIP Photo Maker (com.pip.editor.camera)
- 2021 Fondo de pantalla y teclado (org.my.favorites.up.keypaper)
- Secador de pelo Barber Prank, Clipper y Tijeras (com.super.color.hairdryer)
- Editor de imágenes (com.ce1ab3.app.photo.editor)
- Cámara PIP (com.hit.camera.pip)
- Fondo de pantalla del teclado (com.daynight.keyboard.wallpaper)
- Tonos de llamada pop para Android (com.super.star.ringtones)
- Cool Girl Wallpaper/SubscribeSDK (cool.girly.wallpaper)
Se insta a los usuarios que han descargado las aplicaciones a comprobar si hay transacciones no autorizadas, al tiempo que toman medidas para tener cuidado con los permisos sospechosos solicitados por las aplicaciones y examinar cuidadosamente las aplicaciones antes de que se instalen en los dispositivos.
https://thehackernews.com/2021/04/over-750000-users-download-new-billing.html
