Desvelan cómo el malware para Android se cuela en Google Play Store
El equipo de seguridad de Google Cloud ha arrojado luz recientemente sobre un problema común en el que malware para Android se cuela en la tienda Google Play. Este método es utilizado por los hackers para evadir el proceso de revisión y las barreras de protección de Google Play Store. Versioning es una técnica emergente utilizada por estos hackers para superar las protecciones de seguridad y entregar cargas útiles peligrosas en dispositivos incautos, posiblemente comprometiendo los datos del usuario.
Versionado: Un enfoque sigiloso
El planteamiento básico del versionado consiste en manipular torticeramente la aplicabilidad legal. Al principio, una versión aparentemente inocente de una aplicación está disponible en Google Play Store. Pasa todas las pruebas de seguridad necesarias. Pero cuando se envía una actualización encubierta desde un servidor remoto, entra en escena el giro malévolo. Esta actualización modifica el código del programa en el smartphone del usuario, permitiendo esencialmente comportamientos ilícitos sin llamar la atención.
Esta técnica de versionado funciona principalmente de dos formas. En primer lugar, incluyendo de forma encubierta cargas útiles maliciosas en las actualizaciones enviadas a programas ya instalados. En segundo lugar, invocando código malicioso desde servidores gestionados por piratas informáticos. Este último método se conoce como carga dinámica de código (DCL).
El enfoque DCL
DCL se está convirtiendo en un arma cada vez más eficaz en los kits de los hackers. Los ciberdelincuentes utilizan DCL para inyectar sus cargas útiles en dispositivos Android como código nativo, Dalvik o JavaScript. Pueden lanzar malware encubierto que puede operar sin ser detectado gracias a esta estrategia. Esto les permite evitar las comprobaciones de análisis estático que realiza Play Store.
Google mantiene un estricto procedimiento de detección de Aplicaciones Potencialmente Dañinas (PHA) para todas las aplicaciones enviadas, en un esfuerzo por combatir el juego del gato y el ratón al que juegan los ciberdelincuentes. Aunque esto ofrece una defensa sólida, el método de carga dinámica de código consigue eludir algunas salvaguardas, dando margen para que continúen las actividades maliciosas.
La política de verificación de aplicaciones de Google prohíbe categóricamente que las aplicaciones realicen cambios, sustituciones o actualizaciones de código no autorizados a partir de fuentes distintas del proceso oficial de Google Play. Además, las normas prohíben categóricamente la compra de código ejecutable de otras fuentes, preservando la integridad de la tienda de aplicaciones de Android.
SharkBot - Una nueva variante
El infiltración de malware en Android conocido como SharkBot es un ejemplo notable. El versionado es una táctica utilizada por este malware bancario, que fue descubierto por primera vez por el Equipo de Inteligencia de Amenazas de Cleafy para infectar de forma encubierta dispositivos Android. SharkBot elude las pruebas iniciales de Play Store haciéndose pasar por aplicaciones legítimas. Una vez descargado, el malware utiliza el protocolo Automated Transfer Service (ATS) para realizar transacciones financieras ilícitas.
Los cerebros detrás de SharkBot lanzan cuidadosamente versiones de funcionalidad limitada en Google Play para llevar a cabo sus planes mientras ocultan sus verdaderos motivos. Al engañar a los consumidores para que descarguen las aplicaciones sin pensar, esta estrategia oculta con éxito la naturaleza maliciosa del software, aumentando las amenazas a los dispositivos móviles.
Recientes revelaciones de los expertos en seguridad de ThreatFabric han revelado un nuevo método utilizado para lo mismo. Este método evita a propósito las herramientas de análisis de aplicaciones de Google, eludiendo su inspección. Como resultado aplicaciones maliciosas o APKs pueden colarse en los terminales de los consumidores y comprometer la seguridad percibida de sus dispositivos.
El camino por recorrer
El panorama del malware para Android siempre está cambiando; por lo tanto, los usuarios y desarrolladores deben mantener una mayor concienciación en el contexto de estos retos de seguridad de Google Play. Los piratas informáticos han demostrado su versatilidad y habilidad utilizando técnicas de carga dinámica de código y versionado. Es crucial que los consumidores tengan cuidado al descargar aplicaciones y que los desarrolladores sigan los estrictos requisitos de Google para detener estas intrusiones furtivas mientras viajamos por esta frontera digital.
Conclusión
Teniendo en cuenta que malware para Android se cuela en Google Play Store, es necesario seguir mejorando los procedimientos de seguridad. Los hallazgos de Google dejan claras las dificultades a las que se enfrentan Play Store y los sistemas Android en general. Nuestras defensas más eficaces siguen siendo el conocimiento y las tácticas proactivas mientras nos preparamos para los territorios inexplorados de los ciberataques.
En caso de cualquier duda, siempre puede contactar con nosotros en Tux Carenuestros expertos estarán siempre a tu disposición para orientarte.
Las fuentes de este artículo incluyen un artículo en Bleeping Computer.