El investigador de malware Lukas Stefanko encontró en la tienda Google Play una aplicación de grabación de llamadas de Android con código malicioso oculto diseñada como un dropper de malware.
Stefanko descubrió que la aplicación "Simple Call Recorder" publicada por FreshApps Group ya tenía más de 5,000 instalaciones y estaba disponible en Google Play desde el 30 de noviembre de 2017.
Aunque Simple Call Recorder era un registrador de llamadas funcional, también tenía otro propósito oculto que "era descargar una aplicación adicional y engañar al usuario para que la instalara como Flash Player Update", según Stefanko.
La aplicación malintencionada intenta poner en peligro el dispositivo en el que está instalado descifrando un archivo binario que carga de sus activos, cargándolo dinámicamente y luego solicitando al usuario que instale un actualizador de flash falso desde http://adsmserver[.]Club/up/update.apk (el instalador ahora se elimina y redirige a AdMob de Google).
Debido a que la carga útil de malware ya no estaba disponible, es imposible saber para qué la usó el desarrollador de Android del FreshApps Group, pero, dada la forma en que fue diseñada para ser descargada en los dispositivos seleccionados, es bastante evidente que era una herramienta maliciosa.
La aplicación de grabación de llamadas maliciosas se utilizó como un dropper de malware durante casi un año.
"La grabadora de llamadas simple duró en Google Play durante casi un año, lo cual es realmente mucho tiempo antes de ser eliminada, si consideramos que la aplicación contenía una secuencia de flashplayer_update.apk", dijo el investigador. "Aunque no pude recuperar la aplicación descargada, esta funcionalidad aún se basa en la política de Google Play prohibida explícitamente".
Esta no es la primera vez que Stefanko encuentra una aplicación plagada de troyanos en la tienda Google Play . En septiembre, descubrió un troyano bancario también camuflado como una aplicación legítima de grabación de llamadas de Android que robaba información bancaria de dispositivos Android comprometidos.
Además, el troyano bancario descubierto hace dos meses se instaló en más de 10,000 dispositivos Android y fue capaz de robar credenciales bancarias utilizando los servicios de accesibilidad de Android incluso cuando la autenticación de dos factores de SMS estaba habilitada.
Además, Stefanko también descubrió otras 29 aplicaciones de Android infectadas desde agosto hasta principios de octubre de 2018 en la tienda oficial de Android, que se hacían pasar por aplicaciones bancarias legítimas y utilizaban formularios de phishing para recopilar credenciales bancarias.
Fecha actualización el 2021-11-13. Fecha publicación el 2018-11-13. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: softpedia