Más de 300,000 dispositivos Android infectados por troyanos bancarios maliciosos

Más de 300,000 usuarios de Google Play Store han sido infectados con troyanos bancarios de Android, según un nuevo informe de ThreatFabric, una empresa de seguridad móvil.

El mes pasado, investigadores de seguridad de ThreatFabric descubrieron cuatro campañas diferentes de dropper de malware distribuyendo troyanos bancarios en Google Play Store. Estos son principalmente parte de cuatro familias de malware: Anatsa, Alien, Hydra y Ermac, que se distribuyeron entre agosto y noviembre de 2021 y se descargaron más de 300,000 veces.

Estas aplicaciones maliciosas de Android se hicieron pasar por QR Scanner, QR Scanner 2021, PDF Document Scanner, PDF Document Scanner Free, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker y Gym and Fitness Trainer.

Durante la investigación dedicada a las técnicas de distribución de diferentes familias de malware, los analistas de ThreatFabric encontraron numerosos droppers ubicados en Google Play, diseñados para distribuir específicamente el troyano bancario Anatsa.

Anatsa fue descubierto por ThreatFabric en enero de 2021. Es un troyano bancario de Android bastante avanzado con capacidades de RAT y semi-ATS. También puede realizar ataques de superposición clásicos para robar credenciales, registro de accesibilidad (capturando todo lo que se muestra en la pantalla del usuario) y keylogging.

El primer dropper fue descubierto en junio de 2021 haciéndose pasar por una aplicación para escanear documentos. En total, los analistas de ThreatFabric pudieron identificar 6 droppers de Anatsa publicados en Google Play desde junio de 2021.

Estas aplicaciones se hicieron pasar por escáneres de códigos QR, escáneres de PDF y aplicaciones de criptomonedas. Una aplicación dropper fue instalada más de 50,000 veces, con el total combinado de instalaciones de todos los droppers alcanzando más de 100,000 instalaciones.

“Los actores detrás de esto se preocuparon por hacer que sus aplicaciones parecieran legítimas y útiles. Hay un gran número de reseñas positivas para las aplicaciones. El número de instalaciones y la presencia de reseñas pueden convencer a los usuarios de Android para instalar la aplicación. Además, estas aplicaciones realmente poseen la funcionalidad reclamada, después de la instalación funcionan normalmente y convencen aún más a la víctima de su legitimidad”, señalaron los investigadores.

Además, también hubo instalaciones de droppers de las familias de malware Alien (95,000+) y Hydra/Ermac (15,000+). Mientras que Alien puede robar información importante incluso de un proceso de autenticación de dos factores, los otros dos proporcionan a los atacantes acceso al dispositivo necesario para robar la información bancaria de los usuarios.

Las aplicaciones dropper tienen una huella maliciosa muy pequeña, lo que es una consecuencia (directa) de las restricciones de permisos impuestas por Google Play.

Un buen ejemplo es la modificación introducida el 13 de noviembre de 2021 por Google, que limita el uso de los Servicios de Accesibilidad, que fueron abusados por campañas de dropper anteriores para automatizar e instalar aplicaciones sin el consentimiento del usuario.

“Esta vigilancia por parte de Google ha obligado a los actores a encontrar formas de reducir significativamente la huella de las aplicaciones dropper. Además de los esfuerzos mejorados en el código del malware, las campañas de distribución de Google Play también son más refinadas que las campañas anteriores”, explicaron los investigadores de ThreatFabric en su informe.

“Por ejemplo, al introducir actualizaciones de código malicioso cuidadosamente planificadas durante un período más largo en Google Play, así como tener un backend C2 de dropper que coincida completamente con el tema de la aplicación dropper (por ejemplo, un sitio web de Fitness funcional para una aplicación centrada en el ejercicio).”

Para dificultar aún más su detección por parte de Google y los proveedores de antivirus, los actores detrás de estas aplicaciones dropper solo activan manualmente la instalación del troyano bancario en un dispositivo infectado para dirigirse a una región específica del mundo o en fechas posteriores para evadir aún más la detección. Esto hace que la detección automatizada sea una estrategia mucho más difícil de adoptar por cualquier organización.

Como resultado, casi todos los troyanos tienen o tuvieron un puntaje FUD de 0/62 en VirusTotal en algún momento, confirmando la dificultad de detectar aplicaciones dropper con una huella mínima.

“En el transcurso de solo 4 meses, se propagaron 4 grandes familias de Android a través de Google Play, resultando en más de 300,000 infecciones a través de múltiples aplicaciones dropper. Una tendencia notable en las nuevas campañas de dropper es que los actores se están enfocando en cargadores con una huella maliciosa reducida en Google Play, aumentando considerablemente las dificultades para detectarlos con técnicas de automatización y aprendizaje automático”, concluye el informe.

“La pequeña huella maliciosa es el resultado de las nuevas restricciones de Google Play (actuales y planificadas) para poner limitaciones en el uso de la privacidad en relación con los permisos de las aplicaciones.”

Después del descubrimiento de las aplicaciones maliciosas, ThreatFabric informó todas ellas a Google, que ahora han sido eliminadas de la Play Store, como confirmó un portavoz de Google a ZDNet.

“El ecosistema de malware bancario de Android está evolucionando rápidamente. Estos números que estamos observando ahora son el resultado de un cambio lento pero inevitable de enfoque de los criminales hacia el paisaje móvil. Con esto en mente, la Google Play Store es la plataforma más atractiva para usar para servir malware”, dijo Dario Durando, especialista en malware móvil de ThreatFabric, a ZDNet.

“Una buena regla general es siempre verificar las actualizaciones y tener mucho cuidado antes de otorgar privilegios de servicios de accesibilidad, que serán solicitados por la carga maliciosa, después de la instalación de la ‘actualización’, y tener cuidado con las aplicaciones que piden instalar software adicional”, recomendó Durando a los usuarios para evitar infecciones.