Los programas maliciosos conocidos como 'droppers' o 'cuentagotas' han evolucionado la técnica con la que sortean los mecanismos de seguridad de las tiendas oficiales de aplicaciones, reduciendo los permisos que solicitan o introduciendo nuevas capas de ofuscación, con la que consiguen tener miles de descargas.
La compañía de ciberseguridad ThreatFabric ha repasado en su blog los últimos descubrimientos en 'droppers' o 'cuentagotas' y las técnicas que los cibercriminales han desplegado con el objetivo de sortear los mecanismos de seguridad de las tiendas de aplicaciones oficiales.
Uno de esos programas maliciosos es Sharkbot. A principios de mes se descubrió una nueva campaña maliciosa dirigida contra usuarios italianos, que distribuía el 'dropper' desde Google Play Store en una aplicación de cálculo de impuestos, que contaba con más de 10.000 instalaciones.
La nueva versión de Sharkbot no incluía permisos sospechosos que puedan alertar a los sistemas de Google, reduciéndolos a tres bastante comunes: acceso a Internet, a la lectura del almacenamiento externo y a su escritura.
La actividad maliciosa se desencadenaba al comprobar que la SIM del 'smartphone' donde se había instalado se correspondía con Italia. Entonces, recibía una 'url' con la carga útil que lo infecta y abría una página falsa que simulaba ser la de la 'app' en Google Play para instar a la víctima a que actualizara.
Sharkbot también se encontró en una aplicación de gestión, publicada en Play Store, aunque en esta ocasión sin descargar registradas. En este caso, la app sí contaba con el permiso de instalación de paquetes.
ThreatFabric también menciona la familia de 'malware' Vultur, un troyano bancario descubierto por primera vez en verano del año pasado, con capacidad para evadir los controles de Google Play Store.
La compañía de ciberseguridad ha identificado recientemente tres 'droppers' en la tienda de Google que instalaban Vultur, con entre mil y 100.000 instalaciones, simulando ser aplicaciones de inicio de sesión seguro o de recuperación de archivos.
Al tratarse de una nueva versión del 'dropper', los investigadores han identificado técnicas de ofuscación distintas de las encontradas en las primeras iteraciones. "La lógica de instalación no está contenida en el archivo DEX principal, sino en un archivo dex adicional que se carga dinámicamente" y "encripta cadenas usando AES con una clave variable". A esto se añade un registro de accesibilidad extenso.
Con información de Europa Press.