Un nuevo troyano clicker en Google Play pretende ser Dubsmash

Hace poco, los investigadores de Avast descubrieron un troyano clicker de pornograf√≠a en la tienda Google Play Store, que se hace pasar por una versi√≥n oficial de ‚ÄúDubsmash 2‚ÄĚ y ya fue descargada m√°s de 100.000 veces. A pesar de que esta aplicaci√≥n que abre v√≠nculos fraudulentos no provoc√≥ ning√ļn da√Īo directo en las v√≠ctimas (por ejemplo, no se dedica a robar credenciales), genera mucho tr√°fico de Internet y puede provocar que las v√≠ctimas cuyos planes telef√≥nicos restringen el uso de datos deban pagar altas tasas de excedentes en sus facturas a fin de mes.

Menos de un mes después, los investigadores de ESET descubrieron muchas variantes falsas de esta misma aplicación Dubsmash que, de alguna forma, lograron llegar a la tienda Google Play oficial, y que usan los mismos íconos e imágenes de vista previa.

Aunque esta amenaza es completamente diferente a la que analizamos la semana pasada al hablar de scareware de la mano de falsas apps de Minecraft, ambos casos se asemejan en que lograron entrar Google Play Store sin ser rechazados.

Dubsmash 2 falso en Google Play, disponible entre el 20 y el 22 de mayo
Dubsmash 2 falso en Google Play, disponible entre el 20 y el 22 de mayo

El √ļltimo troyano Dubsmash 2 se subi√≥ a la tienda el 20 de mayo de 2015 y se quit√≥ el 22 del mismo mes. Durante los dos d√≠as en que estuvo disponible para los usuarios, se descarg√≥ m√°s de 5.000 veces. Una vez m√°s, el malware empleaba la t√©cnica de abrir p√°ginas web y hacer clics aleatorios, id√©ntica a la utilizada en su versi√≥n anterior.

El creador del malware no esper√≥ demasiado para subir a Google Play otra versi√≥n del troyano clicker de sitios pornogr√°ficos el 23 de mayo de 2015, la que se hac√≠a pasar por Dubsmash v2. Luego de tres d√≠as, la aplicaci√≥n ya se hab√≠a descargado decenas de miles de veces. El 25 y 26 de mayo de 2015, Dubsmash 2 se subi√≥ a la tienda Play Store por cuarta y quinta vez, con elmismo c√≥digo malicioso implementado. Es poco com√ļn que un malware se suba tantas veces a la tienda Play Store oficial con la misma funcionalidad en un per√≠odo tan corto de tiempo.

Dubsmash v2 falso, 23 de mayo
Dubsmash v2 falso, 23 de mayo
Dubsmash v2 falso, 25 de mayo
Dubsmash v2 falso, 25 de mayo
Dubsmash v2 falso, 26 de mayo
Dubsmash v2 falso, 26 de mayo

El software de seguridad de ESET detecta esta amenaza como Android/Clicker Trojan. Las aplicaciones falsas se quitaron rápidamente de la tienda Play Store luego de nuestra notificación.

Troyano Android/Clicker quitado de Google Play
Troyano Android/Clicker quitado de Google Play

Tras realizar un an√°lisis m√°s profundo, descubrimos que estas cuatro aplicaciones no eran las √ļnicas Dubsmash 2 subidas a Google Play Store. Tambi√©n encontramos otras cuatro que Google ya hab√≠a quitado de la tienda en el pasado. ESET identific√≥ 9 aplicaciones disponibles para descargar de la tienda, que en realidad eran troyanos clicker que se hac√≠an pasar por Dubsmash 2.

Otras variantes de Dubsmash 2
Otras variantes de Dubsmash 2

Tras la instalaci√≥n, no se crea ning√ļn √≠cono nuevo de Dubsmash en el dispositivo. El √≠cono o el nombre de la aplicaci√≥n reci√©n instalada no tienen nada que ver con la real. Casi siempre pretende ser un simple juego arcade o una aplicaci√≥n del sistema. Al iniciar el programa, oculta su √≠cono de ejecuci√≥n, pero a√ļn as√≠ se est√° ejecutando constantemente en segundo plano, accediendo a p√°ginas pornogr√°ficas para generar ingresos a trav√©s del fraude de clics.

√ćconos de Dubsmash 2
√ćconos de Dubsmash 2

La actividad maliciosa se acciona cuando el dispositivo cambia la conexión. No es difícil conseguir la dirección URL del servidor, ya que el desarrollador de la aplicación móvil esta vez no cifró las URL-se la puede encontrar dentro del código, como texto sin formato.

Sin embargo, se le hizo un cambio interesante a la √ļltima versi√≥n: esta vez, el c√≥digo malicioso no se ejecutar√° si hay un software antivirus instalado en el dispositivo. El troyano verifica las aplicaciones instaladas; para ello, se basa en los nombres de los paquetes y los compara con los nombres de 16 fabricantes de antivirus. Los nombres de los paquetes se solicitan din√°micamente al servidor a trav√©s del protocolo HTTP, y se pueden actualizar con facilidad para incorporar otras aplicaciones antimalware.

Es posible que algunas soluciones antivirus no detecten el troyano durante el momento de su instalaci√≥n, pero en muchos casos, pueden bloquear direcciones URL espec√≠ficas si detectan que son maliciosas. En uno de los casos, el troyano usa exactamente el mismo servidor para comunicarse como lo hac√≠a en una versi√≥n anterior del malware. El usuario debe sospechar cuando el dispositivo le notifica que se est√°n solicitando datos a un servidor que ya fue bloqueado. Llegado este punto, deber√≠a desconfiar, ya que est√° ocurriendo algo fuera de lo com√ļn.

Nombre del paquete
com.eset.ems2.gp
com.kms.free
com.avast.android.mobilesecurity
com.symantec.mobilesecurity
com.antivirus
com.drweb
com.cleanmaster.mguard
com.cleanmaster.security
com.avira.android
com.wsandroid.suite
com.drweb.pro
org.antivirus
com.s.antivirus
jp.naver.lineantivirus.android
org.antivirus.tablet
org.antivirus.tcl.plugin.trial_to_pro

Si el dispositivo no tiene instalada ninguna de estas aplicaciones, se inicia la funcionalidad real de Dubsmash 2. En primer lugar, el troyano abre vínculos de páginas pornográficas que le solicita a su servidor. Estos vínculos se cargan cada 60 segundos en WebView, dentro de una ventana invisible, y se les aplica un patrón de clics aleatorio.

Conclusión

Al parecer, la tienda oficial Google Play Store sigue teniendo algunos puntos d√©biles, ya que se volvieron a subir las mismas aplicaciones maliciosas en forma reiterada y se siguieron ofreciendo a m√°s de decenas de miles de usuarios por cuarta vez en tan solo un mes. El desarrollador del troyano utiliz√≥ indebidamente el nombre de una aplicaci√≥n popular, descargada con frecuencia, para su propio beneficio econ√≥mico. Les aconsejamos a los usuarios que lean los comentarios de las personas que ya descargaron la aplicaci√≥n, incluso cuando no requiere ning√ļn permiso que pueda resultar da√Īino o sospechoso, y que sigan estos 8 consejos para determinar si una aplicaci√≥n para Android es leg√≠tima.

Más información

Nombre del paquete
MD5
Nombre de detección de ESET
com.mym.gms BC72AD89E02C5FAA8FD84EBE9BF9E867 Android/Clicker.M
com.jet.war 8788B7C60BC9021A5F6162014D7BD1A6 Android/Clicker.L
com.lh.screens A2CCD03A1997F86FB06BD1B21556C30F Android/Clicker.M
com.jet.sman 6E20146EB52AEA41DB458F494C3ED3E6 Android/Clicker.J

Fuente:http://www.welivesecurity.com/