Poco antes del lanzamiento de la versión para Android de Prisma, una aplicación móvil muy popular para editar fotografías, Google Play Store se llenó de apps falsas.
LAS APPS FALSAS NO TENÍAN FUNCIONALIDADES DE EDICIÓN FOTOGRÁFICA
Los investigadores de ESET descubrieron muchos tipos de apps falsas de Prisma, incluyendo algunos peligrosos descargadores de troyanos (trojan downloaders). El equipo de seguridad de Google Play los quitó de la tienda oficial de Android tras la notificación de ESET, pero para ese entonces, las apps falsas que se hacían pasar por Prisma alcanzaron más de 1,5 millones de descargas de los aficionados.
Prisma es un editor de fotografías excepcional desarrollado por los laboratorios Prisma, Inc. En un principio, la app estaba diseñada para sistemas iOS, donde obtuvo excelentes calificaciones entre los usuarios de iTunes, la tienda de aplicaciones móviles de Apple. Muchos de los usuarios de Android estaban ansiosos por usarla y esperaban la llegada de su lanzamiento oficial en Google Play, previsto para el 24 de julio de 2016.
Como ya ha ocurrido con muchas otras aplicaciones populares de Google Play en el pasado, varias versiones falsas aprovecharon la impaciencia de los usuarios y atiborraron la tienda antes de la fecha de lanzamiento oficial.
Funcionalidad de las apps falsas de Prisma
La mayoría de las apps falsas de Prisma que se encuentran en Google Play no tienen ninguna funcionalidad de edición fotográfica. En su lugar, solo muestran anuncios publicitarios o encuestas falsas, que atraen al usuario para que proporcione su información personal o se suscriba a servicios de SMS falsos (y costosos).
Algunos ofrecen una funcionalidad de edición fotográfica muy básica, pero aún así, su propósito principal es mostrarle al usuario una serie interminable de anuncios emergentes, o bien asustarlo con scareware para convencerlo de que su dispositivo está infectado con malware.
De las apps falsas de Prisma encontradas en Google Play antes del lanzamiento de la app legítima, las más peligrosas son los descargadores de troyanos, detectados por ESET comoAndroid/TrojanDownloader.Agent.GY. A diferencia de sus contrapartes con los molestos anuncios y encuestas, estos troyanos trabajan en segundo plano y ocultan sus íconos para que su presencia en el dispositivo no sea detectada. Envían información del dispositivo a su servidor de C&C, luego descargan módulos adicionales y los ejecutan a petición de los cibercriminales.
Cuando analizamos esta infiltración, el troyano descargó y ejecutó un módulo adicional para robar información confidencial, como el número telefónico, el nombre del operador, el nombre del país, el idioma, etc. Sin embargo, la funcionalidad de los módulos descargados puede variar en cada caso.
De los cinco trojan downloaders descubiertos en Google Play, dos de ellos tienen una funcionalidad de phishing que probablemente podría ejecutarse mediante el módulo descargado. Al ver una solicitud falsa para actualizar el sistema operativo del dispositivo a Android 6.0, el usuario es inducido a ingresar las credenciales de su cuenta de Google en el formulario de acceso falso.
Traducción del texto:
“Для обновления вашего устройства необходимо авторизоваться!
Ваша версия Android:
Доступная версия: 6.0”
“Debes iniciar sesión para actualizar tu dispositivo.
Tu versión de Android:
Versión disponible: 6.0”
“Один аккаунт. Весь мир Google!
Подождите, идет проверка…”
“Una sola cuenta. Google en todo el mundo.
Espera, antes debemos verificar tus datos…”
Debido a sus capacidades de descarga, la familia de malware Android/TrojanDownloader.Agent.GYsupone un serio riesgo para los más de 10.000 usuarios de Android que instalaron estas apps peligrosas antes de que Google las quitara de su tienda.
Antes del lanzamiento…
Dado el éxito que tuvo Prisma en la plataforma iOS, estaba claro que los usuarios de Android la estarían esperando con ansiedad. Estas circunstancias suelen atraer a los ciberdelincuentes, que aprovechan la ocasión para distribuir sus apps falsas a través de Google Play, ya sea haciéndose pasar por la app original o por otras apps derivadas, como tutoriales o trampas.
Mediante el uso de íconos, nombres, desarrolladores o comentarios falsos, ganan dinero con los anuncios que muestran, los clics falsos, las estafas, o en el peor de los casos, el uso deransomware, instalado en el dispositivo de la víctima mediante un descargador de troyanos.
En el pasado, fuimos testigos de una gran cantidad de casos donde apps falsas aprovechan la popularidad en Google Play. Los ejemplos más recientes son las apps falsas de Pokémon GO. Los fanáticos del famoso juego GTA 5 también fueron el blanco de apps falsas antes del lanzamiento oficial y el mismo patrón se pudo observar con la app popular de MSQRD, que apareció en la tienda de Google Play con numerosas imitaciones. Muchas otras apps populares (entre las que se encuentran My Talking Angela, Dubsmash y Subway Surfers) también estuvieron precedidas portroyanos clicker de sitios pornográficos.
Conclusión
Descargar una app popular antes de su lanzamiento oficial es realmente una muy mala idea, ya que las posibilidades de encontrar una aplicación genuina son prácticamente nulas, mientras que el riesgo de descargar una imitación maliciosa es alto. Esto también es cierto incluso en la tienda Google Play, donde se emplean todos los mecanismos de seguridad de Google.
Para los usuarios es difícil determinar si una app en particular es verdadera o no. Los ciberdelincuentes suelen utilizar íconos, nombres de aplicaciones, suscripciones e incluso capturas de pantalla muy similares a los originales para confundir a los usuarios.
Recomendaciones de los expertos de ESET
Sigue siempre las buenas prácticas al descargar aplicaciones móviles para Android:
- Descarga solamente desde fuentes confiables
- Lee las opiniones de los usuarios enfocándote principalmente en los comentarios negativos (recuerda que los positivos pueden ser inventados)
- Lee los términos y condiciones de la aplicación, prestando atención especial a los permisos requeridos
- Utiliza una solución de seguridad de calidad para dispositivos móviles
Fuente:https://www.welivesecurity.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad