Nuevo malware de Android instalado más de 3 millones de veces desde Google Play

Un investigador de seguridad descubrió una nueva familia de malware de Android en la Google Play Store que inscribía secretamente a los suscriptores en servicios premium, según un informe de Bleeping Computer.

El nuevo malware de Android, denominado Autolycos, fue descubierto por Maxime Ingrao, un investigador de seguridad de la empresa de ciberseguridad Evina. El malware, que fue identificado por primera vez por Ingrao en junio de 2021, ha infectado ocho aplicaciones en la Play Store que han sido descargadas más de tres millones de veces.

Todas estas aplicaciones maliciosas atrajeron a los usuarios a descargarlas ofreciendo funcionalidad adicional para su cámara o teclado.

Ingrao señaló que estas aplicaciones maliciosas pedían a los usuarios autorización para leer mensajes de texto SMS en el smartphone después de la instalación. Una vez que los usuarios dieron permiso, robaron datos.

A veces, incluso se suscribían a paquetes premium de las aplicaciones infectadas sin el conocimiento o consentimiento del propietario. Solo se darían cuenta cuando recibieran una factura y un aviso informándoles que el monto había sido debitado de sus tarjetas de crédito o débito.

Mientras el investigador informó sobre el malware Autolycos a Google ya en junio de 2021, le tomó al gigante de la búsqueda alrededor de medio año eliminar seis de las aplicaciones infectadas de la Play Store. Además, las dos aplicaciones infectadas restantes fueron eliminadas solo después de que Bloomberg publicara su artículo sobre el malware Autolycos.

A continuación se presenta una lista completa de las aplicaciones infectadas con el malware Autolycos y sus detalles:

2. Vlog Star Video Editor:- 1 millón de descargas

3. Creative 3D Launcher:- 1 millón de descargas

4. Wow Beauty Camera:- 100,000 descargas

5. Gif Emoji Keyboard:- 100,000 descargas

6. Freeglow Camera 1.0.0:- 5,000 descargas

7. Coco camera V1.1:- 1,000 descargas

8. Funny Camera by KellyTech:- Más de 50,000 descargas

9. Razer Keyboard & Theme by rxcheldiolola:- Más de 50,000 descargas

¿Cómo funcionaba el malware Autolycos?

“Autolycos es mucho más discreto que el ahora bien conocido malware Joker. Autolycos no lanza un navegador invisible como lo hace Joker. El malware lanza intentos de fraude ejecutando solicitudes http sin usar un navegador,” escribió Ingrao en un informe explicando cómo funciona el malware.

“Para algunos pasos, puede ejecutar urls en un navegador remoto e incrustar estos resultados en las solicitudes http. Esta operación está destinada a dificultar que Google diferencie las aplicaciones infectadas por Autolycos de las legítimas. Esta es exactamente la razón por la que Autolycos permaneció sin ser identificado durante tanto tiempo y alcanzó más de 3 millones de descargas.”

Los cibercriminales promovieron las aplicaciones en varias páginas de Facebook y ejecutaron anuncios en Facebook e Instagram para alcanzar un gran número de nuevos usuarios.

Las aplicaciones que fueron promovidas a través de las campañas publicitarias se hicieron más visibles para los usuarios, lo que llevó a un gran número de usuarios a descargar las aplicaciones en un corto período de tiempo, lo que terminó posicionándolas alto en la Play Store.

Por ejemplo, hubo 74 campañas publicitarias diferentes en Facebook para promover la aplicación Razer Keyboard & Theme que contenía Autolycos, según Ingrao. Algunos también utilizaron bots para generar reseñas positivas en la Play Store. Esta aplicación ha sido clasificada en 5º lugar en las nuevas aplicaciones más populares de la Play Store en Nigeria y en 2º lugar en la categoría de aplicaciones de personalización.

Para mantenerse seguro, verifique si su smartphone Android tiene alguna de las aplicaciones infectadas mencionadas anteriormente, si es así, elimínela de inmediato. Monitoree sus datos de internet en segundo plano, la batería consumida por las aplicaciones, mantenga Play Protect activo y descargue la menor cantidad de aplicaciones posible en sus smartphones.