El sitio oficial de aplicaciones de Android se ha considerado tradicionalmente como un lugar seguro para descargar e instalar apps; de vez en cuando, aplicaciones notablemente maliciosas se escabullen y comienzan a causar estragos antes de que las detecten y las retiren.
La publicación del blog de hoy se centra en varias aplicaciones de utilidad que parecen inocentes a simple vista, pero cuyo propósito real es descargar y habilitar varios troyanos bancarios en el dispositivo y ayudar a los piratas informáticos a vaciar las cuentas de las víctimas.
Las aplicaciones en cuestión fueron detectadas en Google Play por algunos de nuestros algoritmos de aprendizaje automático, y pertenecen a diferentes categorías, pero la mayoría de ellas se comercializan como acompañantes de salud y deportes. Su presencia en Google Play se remonta a febrero de este año, pero las más recientes se publicaron hace apenas unos días. Hasta la redacción de este informe, todavía hay varias muestras disponibles en tiendas de terceros. Las aplicaciones varían en popularidad, y las más utilizadas se han descargado más de 10,000 veces.
Bitdefender detecta esta amenaza como Android.Trojan.Downloader.UT.
COMPORTAMIENTO
Hasta cierto punto, estas aplicaciones cuentan con la funcionalidad anunciada, sin embargo, bajo el capó, se comunican con un servidor y, si se cumplen algunos requisitos previos, el servidor decide si permite que la aplicación descargue un APK malicioso o no. Si el APK está disponible, la aplicación intentará atraer al usuario para que le otorgue derechos de accesibilidad. Si el servicio está habilitado, la aplicación instalará la carga útil e intentará habilitar el servicio de accesibilidad de la carga útil a través de ella.
Las aplicaciones tienen una forma específica de comunicarse con el servidor. La información sobre el dispositivo (como el país, el nombre del paquete, el lanzamiento de la versión de compilación y el modelo de compilación) se envía al servidor como una solicitud de registro de la aplicación y se envía un token de la aplicación. Este token se utilizará en todas las solicitudes posteriores al servidor; dependiendo de esto, la aplicación recibirá del servidor un enlace al archivo APK para descargarlo más tarde.
El mismo CnC proporciona diferentes APK en diferentes momentos, posiblemente debido a que se envían diferentes configuraciones al servidor. Concluimos que los autores de malware pueden tener un proceso de selección para determinar qué usuarios deben obtener el banquero o cuándo deben obtenerlo, lo que hace que los APK descargados sean más difíciles de rastrear e incluso posiblemente orientarlos hacia perfiles específicos.
Las aplicaciones iniciales tienen el único propósito de intentar descargar la aplicación de carga útil. Una vez instalada la aplicación de carga útil, la original habilitará los servicios de accesibilidad para la segunda aplicación. Curiosamente, una vez que se haya instalado el APK descargado y su servicio de accesibilidad esté habilitado a través del control de accesibilidad de la aplicación original, esta última desactivará sus propias capacidades de accesibilidad para evitar levantar sospechas y continuará funcionando como se describe en la descripción de la aplicación en Play Store.
En este punto, la primera aplicación ya no es de interés y la segunda se encarga de la infestación del dispositivo. Los goteros continúan ofreciendo las características ni buenas ni terribles que se anuncian en Google Play. Seguirá escuchando para ciertas intenciones (por ejemplo, BOOT_COMPLETED) e incluso puede ocultar su lanzador si se cumplen todos los requisitos previos.
Las aplicaciones descargadas con las que interactuamos son varias aplicaciones de malware bancario de la familia Cerberus. Como ya habían recibido permisos de accesibilidad, proceden a otorgarse todos los permisos necesarios, se establecen como administradores de dispositivos e incluso como aplicaciones de SMS predeterminadas. A partir de ahí, la aplicación de carga útil tiene control total sobre el dispositivo.
FUENTE: Bitdefender Labs