Según las estadísticas de detección recopiladas por Dr.Web para Android, la actividad de troyanos adware y spyware aumentó en diciembre. Al mismo tiempo, se descubrieron muchas amenazas nuevas en Google Play durante el transcurso del mes pasado. Entre ellos había docenas de aplicaciones falsas y troyanos que suscriben a las víctimas a servicios pagos.
PRINCIPALES TENDENCIAS EN DICIEMBRE
- Un aumento en la actividad de los troyanos de adware
- Mayor actividad de software espía
- El descubrimiento de nuevas amenazas en Google Play
Según estadísticas recogidas por Dr.Web para Android
Amenazas en Google Play
En diciembre, los especialistas de Doctor Web descubrieron muchas amenazas nuevas en Google Play. Entre ellos había docenas de aplicaciones troyanas de la familia de malware Android.FakeApp . Se conectaban a un servidor remoto y, de acuerdo con la configuración recibida de este, en lugar de proporcionar la funcionalidad esperada, podían mostrar los contenidos de varios sitios web, incluidos los de phishing.
Algunas de estas aplicaciones falsas se distribuyeron con el pretexto de invertir en software, directorios y cuestionarios. A través de ellos, los usuarios supuestamente podrían mejorar su educación financiera, invertir dinero en acciones y criptomercados, comerciar petróleo y gas natural e incluso recibir acciones gratuitas de grandes empresas. En cambio, se pidió a las víctimas que proporcionaran sus datos personales para enviar una “solicitud” de registro de cuenta o para comunicarse con un supuesto “especialista”.
Otras aplicaciones falsas estaban ocultas en numerosos juegos.
Según la configuración recibida de un servidor remoto, estas aplicaciones podrían mostrar sitios web de varios casinos en línea o un juego inofensivo, como se muestra en los ejemplos a continuación.
También se descubrió otra aplicación falsa distribuida como herramienta de búsqueda de empleo. En realidad, la aplicación, llamada “SEEKS”, cargó sitios web con vacantes falsas creadas por estafadores y atrajo a posibles víctimas a sus manos. Esta aplicación falsa se agregó a la base de datos antivirus Dr.Web como Android.FakeApp .1133.
Apodado Android.FakeApp .1141 los atacantes hicieron pasar otro troyano como un cliente VPN llamado “Safe VPN”. Pero también era una aplicación falsa.
Al iniciarse, esta aplicación mostraba el contenido de un sitio web donde se ofrecía a las posibles víctimas la oportunidad de obtener acceso a un servicio VPN por solo 1 rublo. Para hacerlo se les pidió que crearan una cuenta y pagaran con una tarjeta bancaria. En realidad, estaban comprando una versión de prueba de 3 días del servicio y, al vencimiento, se les cobraría 140 rublos por día. La información sobre estos términos estaba presente en el sitio web, pero se colocó de tal manera que la mayoría de las víctimas de este esquema no la pudieran ver.
Con eso, esta aplicación simuló la capacidad de conectarse a una red segura, informando a los usuarios de una conexión exitosa. Fue una estafa ya que la funcionalidad declarada no estaba presente en esta aplicación falsa.
Se descubrieron otras aplicaciones fraudulentas que supuestamente hacían posible que los usuarios ganaran dinero al completar varias tareas. Uno de ellos, “Wonder Time”, invitaba a los usuarios a instalar, ejecutar y utilizar otros programas y juegos. Al hacerlo, recibieron una recompensa virtual: tokens que supuestamente podrían convertirse en dinero real. Sin embargo, para retirar lo que “ganaron”, los usuarios tenían que recolectar millones de estas recompensas, mientras que solo se acreditaba una pequeña cantidad de tokens cuando se completaban las tareas. Entonces, incluso si los usuarios lograran recolectar la cantidad requerida, gastarían mucho más tiempo, esfuerzo y otros recursos que la ganancia que esperaban obtener. Según la versión, Dr.Web detecta esta aplicación como Program.FakeMoney .4 , Program.FakeMoney .5 yPrograma.FakeMoney .6 .
Se agregaron varios programas con rutinas operativas similares a la base de datos antivirus Dr.Web como Program.FakeMoney .7 . Por ejemplo, este registro de virus detecta aplicaciones como “Lucky Habit: rastreador de salud”, “WalkingJoy” y algunas versiones anteriores de “Lucky Step-Walking Tracker”. El primero se distribuyó como una aplicación para desarrollar buenos hábitos, mientras que los otros, como podómetros. Los usuarios acumularon recompensas virtuales (“boletos” o “monedas”) por varios logros, como la distancia que caminaron los usuarios, cuando siguieron una rutina diaria saludable, etc. También acumularon recompensas adicionales por ver anuncios.
Similar al caso anterior, para poder iniciar el proceso de retiro de lo “ganado”, los usuarios debían recolectar una cantidad importante de recompensas. Si podían hacer esto, las aplicaciones también exigían que vieran decenas de videos publicitarios. Luego se les ofrecieron varias docenas de anuncios más para ver con el fin de “acelerar” el proceso de retiro. Con eso, las aplicaciones no verificaron ninguno de los datos relacionados con el pago proporcionados por los usuarios, por lo que las posibilidades de recibir el dinero prometido por estas aplicaciones son extremadamente pequeñas.
Además, las versiones anteriores de la aplicación “Lucky Step-Walking Tracker”, que detecta Dr.Web, invitaban a los usuarios a convertir sus recompensas en varias tarjetas de regalo de tiendas en línea. Sin embargo, con el lanzamiento de la actualización de la aplicación, los desarrolladores eliminaron la funcionalidad para convertir las recompensas en dinero real al deshacerse de los elementos de interfaz correspondientes. Como resultado, todas las recompensas acumuladas anteriormente se convirtieron en números inútiles. Al mismo tiempo, las tres aplicaciones, “Lucky Habit: rastreador de salud”, “Lucky Step-Walking Tracker” y “WalkingJoy”, comparten el mismo servidor C&C [string]richox[.]net[/string]. Esto podría indicar que están todos conectados y que en cualquier momento los usuarios de “Lucky Habit: health tracker” y “WalkingJoy” también pueden perder toda esperanza de recibir pagos.
Entre las amenazas descubiertas también se encontraban nuevas aplicaciones troyanas de la familia Android.Joker que suscriben a las víctimas a servicios pagos. Estaban ocultos en aplicaciones como “Document PDF Scanner” (detectado por Dr.Web como Android.Joker .1941 ), “Smart Screen Mirroring” (detectado como Android.Joker .1942 ) y “Smart Night Clock” (detectado como Android.Joker .1949 ).
Además, la aplicación “FITSTAR”, disfrazada de aplicación de fitness, también se distribuyó a través de Google Play.
Cuando se lanzó, cargó sitios web donde a los usuarios, por el precio relativamente bajo de 29 rublos, se les ofreció la oportunidad de comprar un plan de pérdida de peso individual. En realidad, el costo mostrado no era definitivo. Por este dinero, los usuarios solo compraban acceso de prueba de 1 día al servicio. Al finalizar el período de prueba, se realizaría una prolongación automática de 4 días por el precio de 980 rublos. Y el costo del acceso completo al servicio podría llegar a los 7.000 rublos, mientras que también se asumió una mayor prolongación automática de la suscripción actual.
Como resultado, los usuarios de dispositivos Android que hayan instalado esta aplicación sin darse cuenta podrían perder una cantidad significativa de dinero. Esta aplicación se agregó a la base de datos antivirus Dr.Web como Program.Subscription .1 .
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.