Droppers una nueva forma de mutar el malware

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Este año hemos visto muchas campañas de malware diferentes que intentan infectar a los usuarios con aplicaciones maliciosas que se encuentran en la tienda de Google Play.

Aunque estas aplicaciones a menudo se eliminan pocos días después de haber sido informadas a Google, aún logran infectar a miles de usuarios.

Google escanea todas las aplicaciones que se envían a Play Store para intentar bloquear aplicaciones maliciosas, pero las últimas campañas que hemos visto usan técnicas como aplicaciones legítimas que contienen un comportamiento malicioso en un temporizador prolongado (en este caso 2 horas) para eludir la detección automatizada soluciones.

Los droppers en la campaña de BankBot tienen un modus operandi levemente diferente en comparación con los que encontramos en agosto.

Los dropper anteriores eran mucho más sofisticados al usar técnicas como realizar clics en segundo plano mediante el uso de un Servicio de accesibilidad para permitir la instalación desde fuentes desconocidas.

Este nuevo dropper no tiene ese truco y depende de que el usuario tenga fuentes desconocidas ya habilitadas.

Si este no es el caso, el dropper no podrá instalar el malware BankBot, lo que no generará ninguna amenaza para el usuario. Sin embargo, si se habilitan las fuentes desconocidas, se le pedirá al usuario que instale el malware BankBot.

Este malware parece ser prácticamente el mismo que el que Trend Micro publicó en su blog en el pasado mes de septiembre.

Curiosamente, aunque el dropper Tornado FlashLight (com.andrtorn.app) ha sido eliminado de Google Play, Play Protect no lo detecta. Lo mismo ocurre con el malware que baja el dropper (com.vdn.market.plugin.upd).

Las amenazas a dispositivos Android constituyen una nueva ola de ataques sofisticados que rinde grandes ganancias a los cibercriminales.

La interacción con los sistemas de una compañía y los dispositivos Android, sin duda constituyen una gran amenaza para el negocio en si mismo.

 

Josep Verdura – Analista de Seguridad de Vintegris