Falsa versión de BatteryBot Pro en Google Play habilitaba SMS Premium

Share this…

El hecho de que los dispositivos Android predominen hace que los cibercriminales estén continuamente creando amenazas para afectar a sus usuarios. Últimamente, la presencia de aplicaciones falsas en la tienda Google Play ha dado mucho que hablar, con decenas de casos en los que se las combina con Ingeniería Social para ganar confianza y descargar malware en los equipos, a través de conjuntos de permisos excesivos.

A los recientes casos del troyano que pretendía ser Dubsmash y el falso WhatsApp detectado por ESET como Android/TrojanSMS.Agent.ZS, se suma la copia maliciosa de BatteryBot Proencontrada por investigadores de zscaler. Afortunadamente, Google la retiró de su tienda móvil al tomar conocimiento de su comportamiento malicioso, que comprendía fraude de clics, fraude de anuncios publicitarios, suscripción a servicios de SMS Premium y descarga e instalación de APKs maliciosas adicionales.

BatteryBot

Modificando la funcionalidad de la app legítima, los cibercriminales lograron posicionar esta versión maliciosa que, al ser instalada en un dispositivo, demandaba acceso administrativo con el objetivo de otorgar el control del equipo. Una vez que se aceptaban los permisos, la copia efectivamente cumplía su supuesta intención de funcionar como un indicador de batería, pero al mismo tiempo, ejecutaba su actividad maliciosa en segundo plano.

Según los investigadores, este malware trataba de recolectar la siguiente información de la víctima:

  • Memoria disponible en el dispositivo
  • IMEI
  • Operadora telefónica
  • Ubicación
  • Idioma
  • Modelo del teléfono
  • Disponibilidad de la tarjeta SIM

En esencia, aunque el funcionamiento de esta falsa BatteryBot Pro parece ser el original, cuando el usuario trata de ver el uso de la batería, el malware envía peticiones a su Centro de Comando y Control (C&C) para recuperar los códigos de acceso. Estos eran números de servicios SMS Premium a los que se enviaba un mensaje, lo que ocasiona en última instancia un perjuicio económico a las víctimas – que deben afrontar los costos de estos mensajes.

Al tratarse de una plataforma open source con aplicaciones “fácilmente reversibles”, como dicen desde zscaler, los creadores de malware tienden a comprometer apps legítimas embebiendo módulos maliciosos en ellas, en vez de crear apps maliciosas desde cero; así lo hicieron en este caso.

“Los troyanos móviles son una amenaza real, y por esto debemos permanecer alertas para evadir sus intentos de infección. Además de la instalación de una solución de seguridad móvil, recordemos ser sumamente cuidadosos al momento de instalar aplicaciones obtenidas fuera de Google Play”, recomienda Denise Giusto, Security Researcher de ESET.

Fuente:https://www.welivesecurity.com/