Cientos de aplicaciones fraudulentas afectan a más de 10 millones de dispositivos Android

Google ha tomado medidas cada vez más sofisticadas para mantener las aplicaciones maliciosas fuera de Google Play. Pero una nueva ronda de eliminaciones que involucró a unas 200 aplicaciones y más de 10 millones de posibles víctimas muestra que este problema de larga data aún está lejos de resolverse y, en este caso, podría costar a los usuarios cientos de millones de dólares.

Investigadores de la firma de seguridad móvil Zimperium dicen que la campaña de estafa masiva ha afectado a Android desde noviembre de 2023. Como suele ser el caso, los atacantes pudieron colar aplicaciones de apariencia benigna como «Handy Translator Pro», «Heart Rate and Pulse Tracker». y “Autobús – Metrolis 2023” en Google Play como frentes para algo más siniestro. Después de descargar una de las aplicaciones maliciosas, la víctima recibía una avalancha de notificaciones, cinco por hora, que le pedían que «confirmara» su número de teléfono para reclamar un premio. La página de reclamo del «premio» se cargó a través de un navegador en la aplicación, una técnica común para mantener los indicadores maliciosos fuera del código de la propia aplicación. Una vez que un usuario ingresaba sus dígitos, los atacantes los registraban por un cargo mensual recurrente de alrededor de $42 a través de la función de servicios premium de SMS de las facturas inalámbricas. Es un mecanismo que normalmente te permite pagar servicios digitales o, por ejemplo, enviar dinero a una organización benéfica a través de un mensaje de texto. En este caso, fue directamente a los ladrones.

Las técnicas son comunes en las aplicaciones maliciosas de Play Store, y el fraude de SMS premium en particular es un problema notorio. Pero los investigadores dicen que es significativo que los atacantes pudieran unir estos enfoques conocidos de una manera que aún era extremadamente efectiva, y en números asombrosos, incluso cuando Google ha mejorado continuamente su seguridad de Android y las defensas de Play Store.

“Esta es una entrega impresionante en términos de escala”, dice Richard Melick, director de estrategia de producto de Zimperium para seguridad de punto final. “Exprimieron todo el guante de técnicas en todas las categorías; estos métodos son refinados y probados. Y es realmente un efecto de bombardeo de alfombra cuando se trata de la cantidad de aplicaciones. Uno puede tener éxito, otro puede no tenerlo, y eso está bien”.

La operación se dirigió a usuarios de Android en más de 70 países y verificó específicamente sus direcciones IP para tener una idea de sus regiones geográficas. La aplicación mostraría páginas web en el idioma principal de esa ubicación para que la experiencia sea más atractiva. Los operadores de malware tuvieron cuidado de no reutilizar las URL, lo que puede facilitar el seguimiento de los investigadores de seguridad. Y el contenido que generaron los atacantes fue de alta calidad, sin los errores tipográficos y gramaticales que pueden revelar estafas más obvias.

Zimperium es miembro de App Defense Alliance de Google, una coalición de empresas externas que ayudan a controlar el malware de Play Store, y la empresa reveló la llamada campaña GriftHorse como parte de esa colaboración. Google dice que todas las aplicaciones identificadas por Zimperium se han eliminado de Play Store y se ha prohibido a los desarrolladores de aplicaciones correspondientes.

Sin embargo, los investigadores señalan que las aplicaciones, muchas de las cuales tuvieron cientos de miles de descargas, todavía están disponibles a través de tiendas de aplicaciones de terceros. También señalan que, si bien el fraude de SMS premium es una vieja tontería, aún es efectivo porque los cargos maliciosos generalmente no aparecen hasta la próxima factura inalámbrica de la víctima. Si los atacantes pueden llevar sus aplicaciones a los dispositivos de la empresa, incluso pueden engañar a los empleados de las grandes corporaciones para que se suscriban a cargos que podrían pasar desapercibidos durante años en el número de teléfono de una empresa.

Aunque eliminar tantas aplicaciones ralentizará la campaña de GriftHorse por ahora, los investigadores enfatizan que siempre surgen nuevas variaciones.

“Estos atacantes son organizados y profesionales. Establecieron esto como un negocio y no van a seguir adelante”, dice Shridhar Mittal, director ejecutivo de Zimperium. «Estoy seguro de que esto no fue algo de una sola vez».

Esta historia apareció originalmente en wired.com.