Una campaña de malware a gran escala: todo sobre troyanos clicker en Google Play

We Live Security entrevistó a Lukáš Štefanko, investigador de malware de ESET, para hablar sobre la familia de troyanos clicker de sitios pornográficos y otros tipos de malware móvil.

Lukáš, ¿es cierto que las aplicaciones móviles maliciosas que descubriste en realidad pertenecen a la campaña de malware más grande a la que se han enfrentado los usuarios de Android en Google Play?

Es una sola familia de aplicaciones móviles maliciosas que se hacen pasar por juegos para eludir los controles de seguridad de Google

En primer lugar, quisiera destacar que lo que estamos presenciando es realmente una campaña de malware. No son algunos delincuentes que logran un alto número de descargas y luego desaparecen cuando Google los descubre y quita sus aplicaciones de la tienda. Realmente se trata de una campaña de malware: hablamos de una sola familia de aplicaciones móviles maliciosas que se hacen pasar por juegos o aplicaciones populares, diseñadas para eludir los controles de seguridad de Google.

Estas aplicaciones falsas se modifican en forma sistemática para evadir hasta los métodos más avanzados de detección basados en lo que el sistema Bouncer aprendió de otras muestras de malware similares descubiertas con anterioridad. (Nota del editor: Bouncer es el mecanismo de Google para verificar las aplicaciones que se envían a la tienda de aplicaciones oficial de Google). Asimismo, la campaña ya lleva siete meses. En ese período, más de 340 aplicaciones maliciosas lograron subirse a Google Play y generaron un millón de descargas…

…¿Cuál es la respuesta de Google ante esta situación?

El equipo de seguridad de Google está combatiendo esta campaña y, con bastante frecuencia, elimina aplicaciones maliciosas de la tienda. Sin embargo, los autores del malware le siguen el ritmo y continúan subiendo con éxito nuevas aplicaciones a la Play Store. En líneas generales, Google hace un excelente trabajo mejorando los controles de seguridad de su tienda. Pero en este caso en particular, los delincuentes siguen llevando la delantera.

¿Esta familia de troyanos puede poner en riesgo a los usuarios de Google Play?

En teoría, sí. Pero el simple hecho de que haya manzanas podridas en el estante del supermercado no significa que tengas que ponerlas en tu carrito de compras. En otras palabras, aquellos usuarios que se preocupan por lo que descargan tienen muchas posibilidades de mantener las aplicaciones maliciosas lejos de sus dispositivos.

Quienes se preocupan por lo que descargan pueden alejar las aplicaciones maliciosas de sus dispositivos

Volviendo a las aplicaciones maliciosas, si lees las calificaciones de las aplicaciones que deseas descargar, el riesgo de infectarte con cualquier variante de toda esta familia de troyanos clicker es prácticamente nulo. Como lo demostraron nuestros análisis, los usuarios comparten públicamente sus malas experiencias con estas aplicaciones falsas; pero a otros no les importa leer los comentarios. Francamente, es difícil entender por qué la gente instala aplicaciones cuyas calificaciones son claramente negativas.

Tal vez los atraen los comentarios positivos…

La gente debería saber que es común encontrar comentarios “positivos” falsos en todas partes; entonces ¿por qué las aplicaciones falsas van a ser la excepción? De todas formas, por más fácil que sea publicar algunos comentarios positivos falsos, es casi imposible publicar suficientes valoraciones positivas como para influir en la clasificación general. Además, las calificaciones negativas no se pueden borrar. Por esta razón, es crucial para la seguridad de los usuarios prestar siempre atención a la proporción de calificaciones negativas.

Lamentablemente, en el caso de esta familia de malware, cientos de miles de usuarios no prestaron atención. ¿Cuáles fueron los daños que les ocasionó este troyano?

Aunque estas aplicaciones falsas son bastante simples, sin duda también son lo suficientemente maliciosas como para que ningún usuario las quiera tener en su teléfono si supieran su verdadero propósito. Es cierto que esta amenaza no pertenece a las categorías de malware más sofisticadas, como las amenazas de banca móvil y el ransomware criptográfico Simplocker. Por el contrario, este malware se ejecuta en segundo plano sin dar ningún signo de que ocurre algo fuera de lo común.

Desde el punto de vista del usuario, el daño que el troyano les ocasiona es el consumo excesivo de datos, lo que podría incrementar el importe de las facturas por servicios móviles o exceder el límite de consumo de datos.

¿Es Google capaz de detener esta campaña maliciosa?

Google no suele revelar información sobre la forma en que su sistema Bouncer y su equipo de revisión humano evalúan las aplicaciones presentadas antes de subirlas a la tienda Play Store. Probablemente deberían aplicar más filtros que se encarguen de ejecutar en efecto el código malicioso oculto en la aplicación falsa. Asimismo, también deberían agrupar las aplicaciones falsas similares y explorarlas con un software de seguridad.

Aparte de la actual campaña de troyanos clicker, ¿de qué otras cosas deben cuidarse los usuarios de Android?

Lamentablemente, el malware móvil sigue aumentando. Los desarrolladores de aplicaciones móviles maliciosas ahora se centran principalmente en las ganancias que pueden obtener, por lo que suelen ir directamente tras el dinero de los usuarios en lugar de robarles a los anunciantes. Con frecuencia nos enfrentamos a estafas maliciosas relacionadas con la banca por Internet o que intentan robar información de la tarjeta de crédito del usuario.

Para mí, el ransomware que cifra archivos es el tipo más peligroso de malware

Otra amenaza que cada vez cobra más importancia es el ransomware, ya sea el de bloqueo de pantalla o el de cifrado de archivos. Para mí, este último es el tipo más peligroso de malware. Si los ciberdelincuentes implementan el algoritmo de cifrado correctamente, la víctima no tiene ninguna forma eficaz y segura de recuperar sus archivos; aunque pague esos 200-500 dólares, no tiene ninguna garantía de poder recuperarlos: nunca hay que olvidar que está tratando con delincuentes.

Entonces, ¿cuál es tu consejo?

En caso de que un ransomware haya cifrado los archivos, un backup permitirá restaurarlos. Pero mi consejo es el siguiente: haz todo lo posible por evitar terminar en esta situación irreversible. No postergues la aplicación de medidas de seguridad hasta que suceda algo inusual: en la mayoría de los casos, el usuario toma medidas cuando ya es demasiado tarde, con el dispositivo infectado y los datos perdidos.

Recuerda que los smartphones y las tabletas tienden a contener más cantidad de datos personales (así como credenciales) que las computadoras. La gran pregunta que debemos hacernos es por qué la gente solo se ocupa de proteger sus equipos de escritorio y equipos portátiles, e ignoran las amenazas móviles.

Los usuarios deben tomar las mismas medidas de seguridad para sus dispositivos móviles que las que implementaron en sus computadoras; con esto me refiero a usar una solución de seguridad de calidad y a hacer backups de todos los datos importantes. Además de eso, conviene ser razonablemente paranoico al considerar qué aplicaciones móviles se van a descargar y dónde se van a instalar.

En cuanto a las tiendas de aplicaciones, recomiendo firmemente evitar las que no sean oficiales y jamás instalar aplicaciones siguiendo enlaces de URL que aparezcan en los mensajes de texto o correos electrónicos recibidos.

En cuanto a las aplicaciones móviles en sí, hay una medida de seguridad muy simple que limita sustancialmente los riesgos: revisar los comentarios de las personas que ya descargaron la aplicación. Créanme: esta medida es extremadamente potente. Si todos los usuarios siguieran este consejo, no tendríamos que lidiar con campañas tan grandes de malware móvil.

Autor , ESET

Síguenos