22 apps con malware en Play store agota su bateria y roban datos personales

Los investigadores descubrieron que 22 aplicaciones de Android maliciosas que se cargaron en Google playstore con la sofisticada funcionalidad de fraude de clics afectaron a alrededor de 2 millones de usuarios de Android

Algunas de las aplicaciones maliciosas pasan desapercibidas durante un mes y un año, algunas de ellas se cargaron en junio de 2018 y solo una de las aplicaciones de linterna maliciosas descargó alrededor de 1 millón de usuarios.

Attacker creó estas aplicaciones de malware de Ad-Clicker con una funcionalidad más persistente y flexible que otras versiones anteriores.

Muchas de las aplicaciones contienen funciones de descarga y utilizan el servidor de comando y control para recuperar los archivos.

Los atacantes envían las instrucciones directas a través del servidor C&C a las aplicaciones de malware que actúan como un anuncio normal que se muestra por aplicaciones legítimas.

También están utilizando herramientas específicas de fraude de clics para informar a la red utilizando modelos específicos de teléfonos con Android e iOS, y también los usuarios de pantalla completa son usuarios molestos para crear más atención y fuerza y ​​luego hacer clic en ellos.

El usuario afectado puede experimentar actividades maliciosas cuando la aplicación utiliza una gran cantidad de datos y consume la energía de la batería del teléfono.

Todas estas aplicaciones maliciosas generan solicitudes fraudulentas que cuestan a las redes publicitarias ingresos importantes mediante los clics falsos.

Inicialmente, una vez que se inicia, simplemente comienza a comunicarse con su servidor C&C enviando una solicitud GET de HTTP y los servidores devuelven los comandos "sdk" junto con la URL para descargar un módulo "sdk".

En este caso, el módulo c2 continúa verificando el intervalo de tiempo en "exp" archivado y continúa conectándose cada 10 minutos para obtener su SDK nuevamente.

Otro módulo llamado "mpb" realiza el clic del anuncio y las instrucciones del servidor C2 y también las respuestas del servidor en otra estructura JSON que contiene los parámetros que utilizará para descargar el anuncio.

De acuerdo con la investigación de SOPHOS , en nuestras pruebas, hemos observado aplicaciones tanto de Android como de iOS y cadenas de Usuario-Agente en el campo "pkg". Hasta ahora, todas estas aplicaciones parecen provenir de un pequeño número de desarrolladores.

Puede ser que todos estos desarrolladores estén aumentando sus ingresos publicitarios. Pero esta arquitectura puede potencialmente usarse como un servicio para generar ingresos publicitarios para otras aplicaciones también.

También los investigadores encontraron a los mismos desarrolladores que colocaron sus aplicaciones maliciosas en la tienda iTunes Store.

Con el fin de reducir la posibilidad de detectar cualquier sospecha en la red de anuncios, los atacantes que obligan a los campos de Usuario-Agente y dispositivo generan tráfico de red que se parece al tráfico genuino que se origina en dispositivos reales.

El fraude de clics sigue siendo persistente, incluso cuando el usuario obliga a la aplicación a salir y De las 22 aplicaciones, se crearon 19 aplicaciones después de junio de 2018. La mayoría de ellas contiene esta función de descarga "sdk" desde la primera versión. Los investigadores dijeron.

IOC Lista de aplicaciones maliciosas

  • com.sparkle.flashlight Sparkle FlashLight 9ed2b260704fbae83c02f9f19a2c4e85b93082e7
  • com.mobilebt.snakefight Ataque de serpiente 0dcbbae5d18c33039db726afd18df59a77761c03
  • com.mobilebt.mathsolver Solucionador de matemáticas be300a317264da8f3464314e8fdf08520e49a55b
  • com.mobilebt.shapesorter ShapeSorter e28658e744b2987d31f26b2dd2554d7a639ca26d
  • com.takatrip.android Tak A Trip 0bcd55faae22deb60dd8bd78257f724bd1f2fc89
  • com.magnifeye.android MagnifEye 7d80bd323e2a15233a1ac967bd2ce89ef55d3855
  • com.pesrepi.joinup Unete c99d4eaeebac26e46634fcdfa0cb371a0ae46a1a
  • com.pesrepi.zombiekiller Asesino de zombies 19532b1172627c2f6f5398cf4061cca09c760dd9
  • com.pesrepi.spacerocket Cohete espacial 917ab70fffe133063ebe0894b3f0aa7f1a9b1b0
  • com.pesrepi.neonpong Neon Pong d25fb7392fab90013e80cca7148c9b4540c0ca1d
  • app.mobile.justflashlight Solo linterna 6fbc546b47c79ace9f042ef9838c88ce7f9871f6
  • com.mobile.tablesoccer Futbolín fea59796bbb17141947be9edc93b8d98ae789f81
  • com.mobile.cliffdiver Cliff Diver 4b23f37d138f57dc3a4c746060e57c305ef81ff6
  • com.mobile.boxstack Pila de cajas c64ecc468ff0a2677bf40bf25028601bef8395fc
  • net.kanmobi.jellyslice Rebanada de jalea 692b31f1cd7562d31ebd23bf78aa0465c882711d
  • com.maragona.akblackjack AK Blackjack 91663fcaa745b925e360dad766e50d1cc0f4f52c
  • com.maragona.colortiles Azulejos de colores 21423ec6921ae643347df5f32a239b25da7dab1b
  • com.beacon.animalmatch Animal Match 403c0fea7d6fcd0e28704fccf5f19220a676bf6c
  • com.beacon.roulettemania Ruleta mania 8ad739a454a9f5cf02cc4fb311c2479036c36d0a
  • com.atry.hexafall HexaFall 751b515f8f01d4097cb3c24f686a6562a250898a
  • com.atry.hexablocks HexaBlocks ef94a62405372edd48993030c7f256f27ab1fa49
  • Com.atry.pairzapPairZap 6bf67058946b74dade75f22f0032b7699ee75b9e

Semrush sigue a tu competencia


Fecha actualización el 2018-12-10. Fecha publicación el 2018-12-10. Categoria: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers
hackers