Análisis de la actividad de los troyanos clicker en Google Play

Los troyanos clicker en su mayoría son versiones falsas de juegos populares cuyos nombres e íconos se asemejan mucho a los de las aplicaciones legítimas. Por ejemplo, hubo más de 30 aplicaciones falsas de Subway Surfers y más de 60 de GTA. Sin embargo, estas aplicaciones falsas no tienen nada en común con los juegos reales de Subway Surfers o GTA. Casi todos estos troyanos carecen de una funcionalidad legítima: solamente se basan en el hecho de tener nombres similares a los de aplicaciones muy populares para lograr que los usuarios las descarguen y ejecuten.

En los servidores investigados de los atacantes, donde se generan las publicidades, había claramente una cantidad mucho mayor de troyanos clicker. Es difícil determinar si todas esas aplicaciones móviles se habían subido a Google Play Store; quizá solo se alojaban en tiendas de terceros. Encontramos referencias a 187 aplicaciones aparte de las ya descubiertas en la tienda Play Store. Todos los nombres de los paquetes figuran en el apéndice.

Algunas versiones de estos troyanos clicker de sitios pornográficos incluyen una búsqueda de programas antivirus entre las aplicaciones instaladas en el dispositivo. Si el malware encuentra que hay un software antivirus instalado, la funcionalidad maliciosa no se activa. Este método se explica en un artículo anterior publicado en We Live Security. La última versión de este troyano clicker de sitios pornográficos contiene una lista de 56 aplicaciones de seguridad, cuya presencia es verificada por el malware en cada dispositivo.

apps-maliciosas

Imagen 1: Lista de aplicaciones antivirus o de seguridad

Con el tiempo, algunos de estos troyanos clicker de sitios pornográficos se vuelven a empaquetar y subir a la tienda Play Store. Sin embargo, aunque muchos cambiaron el nombre, el ícono o incluso el nombre de su desarrollador, el nombre del paquete se mantuvo igual.

apps-google-play

Imagen 2: Aplicaciones del desarrollador antes

apps-despues

Imagen 3: Aplicaciones del desarrollador después

Es evidente que el nombre de una aplicación interesante en combinación con un ícono popular genera aún más descargas y, por supuesto, más beneficios para el desarrollador.

Cómo mantenerse seguro

En casos como este, cuando el malware se hace pasar por un juego de lanzamiento reciente con un nombre y un ícono de aplicación falsos (My Talking Tom 3, GTA 2016, Temple Run 3) es muy importante leer las opiniones de los usuarios. Muchos de los troyanos clicker de sitios pornográficos recibieron malas calificaciones y una gran cantidad de comentarios negativos de los usuarios que fueron víctimas de la estafa.

Incluso si los usuarios no tienen ninguna duda antes de la instalación, les recomendamos leer atentamente las opiniones y reconsiderar la descarga de la aplicación si hay muchas calificaciones negativas. En la mayoría de estos casos, los troyanos clicker de sitios pornográficos tienen más calificaciones negativas que positivas.

calificaciones-negativas

Imagen 4: Calificaciones negativas de los usuarios

 

Después de leer estos comentarios, los usuarios deberían ser más conscientes del riesgo potencial y reconsiderar la instalación de la aplicación. En cualquier caso, les aconsejamos a los usuarios tener sus soluciones de seguridad siempre actualizadas, para que puedan detener estas amenazas antes de que lleguen a instalarse en sus dispositivos.

comentarios-negativos

Imagen 5: Comentarios negativos en Google Play

Por otro lado, en general, Google detecta a estos troyanos clicker si la opción “Verificar aplicaciones” de la Configuración de Google está activada (este sistema bloquea la instalación de las aplicaciones que pueden causar daños en el dispositivo). Lamentablemente, parece que estas aplicaciones a menudo recién se detectan después de que son eliminadas de la tienda Play Store.

verificacion-aplicaciones

Imagen 6: Sistema de verificación de aplicaciones móviles de Google

Por último, serán de utilidad estos 8 consejos para determinar si una aplicación para Android es legítima.

Consecuencias

Los troyanos clicker de sitios pornográficos han infectado a una gran cantidad de dispositivos Android con el fin de ganar dinero para los criminales creadores del malware. Esperamos que el proceso de evaluación de aplicaciones que realiza Google empiece a detectar este tipo de aplicaciones falsas. Por desgracia, los servidores que proporcionan los enlaces de publicidad siguen estando disponibles, así que probablemente ésta no será la última vez que escuchemos sobre el troyano clicker de sitios pornográficos…

Este artículo se complementa con la entrevista en la que charlamos sobre el impacto de esta campaña de malware móvil y con el anuncio de troyanos clicker inundando Google Play.

Autor Lukas Stefanko, ESET

Síguenos