Muchas veces hemos hablado de la Google Play Store y de sus problemas a la hora de garantizar que las aplicaciones publicadas estén libres de código malware. Hay que decir que muchos de estos comportamientos aparecen a posteriori, algo que ha sucedido en la tienda del sistema operativo Windows 10, concretamente con la aplicación Torrenty.
Tal y como se puede deducir gracias a su nombre, se trata de un cliente BitTorrent que solo estaba a disponible a través de la Windows Store. Está disponible desde hace varios meses y es solo en las últimas semanas cuando ha mostrado este comportamiento que ha provocado su eliminación.
Hoy en día la ingeniería social es muy utilizada para este tipo de prácticas, y esta no es una excepción. Cuando el usuario descarga la aplicación y realiza su instalación no se atisba nada raro durante el proceso. Aunque descarguemos la última versión disponible, al iniciarla por primera vez siempre aparece un mensaje de que existe una actualización, comenzando en este punto el comportamiento que podría considerarse sospechoso. Sin ir más lejos, si el usuario pincha en el mensaje se abrirá una ventana del navegador eb determinado y sin mostrar ninguna página comenzará la descarga de un archivo ejecutable, que tal y como es de imaginar muchos no dudaran en abrirlo.
Esto sucede con Internet Explorer, Microsoft Edge y Google Chrome, quedando excluida de esta lista el navegador de la fundación Mozilla que bloquea el acceso al sitio web informando al usuario de el peligro que supondría para la seguridad del equipo.
El archivo posee el nombre de Setup.exe y en VirusTotal 24 de los 56 motores realizan una detección positiva del mismo, dejando claro que se trata de un malware.
Torrenty distribuye adware entre los usuarios
Si completamos el proceso de instalación veremos que se instala un nuevo cliente, con el nombre de BitLord. En esta ocasión, la aplicación también posee software no deseado que se instala en forma de complemento de los navegadores web, modificando la configuración de estos.
El origen de todo esto es la página web ezsoftdownloads.com que Google Chrome la marca como página no recomendada debido a la posibilidad de distribución de programas no deseados. El motivo por el que en el momento de la descarga no salte el aviso se debe a que proceden a ocultar el contenido malware, esquivando de esta forma los sistemas de seguridad de los navegadores.
A pesar de la doble verificación, la aplicación ha conseguido esquivar los sistemas de seguridad de Microsoft que ya ha procedido a retirar la aplicación para evitar que los usuarios se vean afectados.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
