Investigadores han descubierto un nuevo lote de apps maliciosas en Google Play, algunas de las cuales han sido descargadas e instaladas en aproximadamente 2.6 millones de dispositivos.

Las capacidades de las apps

Las aplicaciones fueron presentadas como ofertas legítimas que modificaban el aspecto de los personajes de Minecraft: Pocket Edition (PE). En el fondo, sin embargo, conectaron a los dispositivos a una botnet.

Una vez instaladas en el dispositivo, estos se conectarían al servidor de mando y control (C&C), que le solicitaría a la aplicación abrir un socket usando SOCKS y esperar una conexión de una dirección IP específica en un puerto especifico.

Establecida la conexión, la aplicación fue instruida para conectarse a otro servidor, del cual recibió una lista de anuncios y metadatos asociados (tipo de anuncio, tamaño de la pantalla). Usando este mismo mecanismo de proxy SOCKS, la app fue comandada para conectare a un servidor y comenzar a solicitar publicidad.

Aunque las aplicaciones fueron usadas para generar ingresos publicitarios ilegítimos, los dirigentes de la botnet podrían forzar a los dispositivos a participar en ataques.

“La topología del proxy altamente flexible podría fácilmente ser extendida para tomar ventaja de un número de vulnerabilidades basadas en red, y podría abarcar potencialmente límites de seguridad. Además de realizar ataques de red, la gran marca de esta infección podría además ser aprovechada para montar un ataque de denegación de servicio distribuida (DDoS)” dicen los investigadores.

El malware fue escondido en 8 apps

El malware, apodado Sockbot, fue encontrado oculto en ocho aplicaciones de GooglePlay, todas ofrecidas por una sola cuenta de desarrollador.

El autor ha hecho todo lo posible para ocultar su verdadera naturaleza a los investigadores y usuarios. El hecho de que las aplicaciones hayan sido instaladas en cientos de miles y (algunas de ellas) millones de dispositivos es una prueba de la habilidad y destreza del autor.

“El código malicioso está ofuscado y la cadenas clave están cifradas, para impedir las formas de detección de nivel básico. Adicionalmente, el desarrollador firmó cada aplicación con una llave diferente, que ayuda a evitar la heurística basada en análisis estático”, señalaron los investigadores. Fácilmente se puede ver cómo algunas soluciones de seguridad móviles pueden omitir la naturaleza maliciosa de la aplicación.

En cuanto a los usuarios, es poco probable que se dieran cuenta de que la aplicación estaba realizando cosas indebidas: no mostraba anuncios inesperados, y aparentemente brindaba la funcionalidad anunciada (es decir, cambiaba el aspecto de los personajes de Minecraft).

Las aplicaciones maliciosas han sido removidas de Google Play. Ojalá Google reduzca la cantidad de dispositivos comprometidos con Google Play Protect.

Se recomienda a los usuarios tener precaución cuando consideren instalar una aplicación en sus dispositivos.