Las aplicaciones de Android estan envenenadas por este terrible malware

Los investigadores han descubierto un programa que vincula el malware con aplicaciones legítimas de Android.

Según lo informado por The Register (se abre en una nueva pestaña), los analistas de la firma de seguridad cibernética ThreatFabric descubrieron el servicio «Zombinder» mientras investigaban otra campaña de propagación de malware utilizando el troyano bancario ERMAC, una pieza de malware sobre la que LaComparacion Pro informó anteriormente.

En su informe (se abre en una nueva pestaña), los investigadores dijeron que «al investigar la actividad de ERMAC, nuestros investigadores detectaron una campaña interesante que se hacía pasar por solicitudes de permiso de Wi-Fi. Se distribuyó a través de un sitio web falso de una página que contenía solo dos botones».

ERMAC y cuentagotas

Estos botones sirvieron como enlaces de descarga para versiones de Android de aplicaciones «ficticias» desarrolladas por ERMAC, que son inútiles para el usuario final pero están diseñadas para registrar pulsaciones de teclas, así como para robar la autenticación de dos factores (2FA) códigos de billetera bitcoin, identificaciones de correo electrónico y frases semilla, entre otros.

Sin embargo, aunque algunas de las aplicaciones maliciosas disponibles en la plataforma son probablemente responsabilidad del desarrollador líder de ERMAC, DukeEugene, el equipo también descubrió que algunas de las aplicaciones estaban disfrazadas como instancias legítimas de la aplicación de Instagram, así como otras aplicaciones que tienen listados en la tienda Google Play.

Como suele ser el caso con las campañas de malware, los actores de amenazas utilizan un «cuentagotas» obtenido de la web oscura para que sus aplicaciones puedan evadir la detección, en este caso Zombinder. Los cuentagotas instalan lo que es funcionalmente una versión limpia de la aplicación, pero luego presentan a los usuarios una actualización que luego contiene el malware.

Este es un sistema de entrega inteligente, especialmente con aplicaciones que afirman ser de proveedores comunes y «confiables» como Meta, ya que es más probable que los usuarios instalen una actualización de los desarrolladores de aplicaciones de lo que reconocen.

Este servicio cuentagotas en particular se anunció en marzo de 2022 y, según ThreatFabric, ya se ha vuelto popular entre varios actores de amenazas.

Los ataques de «cuentagotas» son posibles en gran medida debido a la naturaleza «abierta» de Android, que permite a los usuarios «cargar» aplicaciones obtenidas de repositorios que no sean Google Play Store, e incluso a los propios desarrolladores de aplicaciones.

Si bien este ecosistema abierto beneficia a los usuarios conscientes de la seguridad, los usuarios que solo lo ven como una forma de piratear aplicaciones que normalmente cuestan dinero, por ejemplo, pueden convertirse en opciones fáciles para los atacantes de troyanos bancarios, que luego son libres de robar datos. , credenciales e incluso dinero de usuarios inocentes.

Share This