Una aplicación de Android con capacidades de spyware basada en una herramienta de acceso remoto (RAT) de código abierto ha frustrado dos veces la seguridad de Google Play durante un período de dos semanas.
Radio Balouch (o RB Music) incluyó la funcionalidad de AhMyth Android RAT , un software de proyecto de código abierto que se hizo público a fines de 2017. Desde su lanzamiento abierto, varias aplicaciones móviles maliciosas tomaron prestado su código para espiar a los usuarios de Android.
Hasta ahora, no ha habido informes de aplicaciones creadas en AhMyth que hayan sido distribuidas en todo el mundo a través de Google Play. Esto hace que Radio Balouch sea el primero del grupo en evitar el mecanismo de investigación de aplicaciones de Google y llegar a la tienda oficial de aplicaciones de Android.
RB Music es completamente funcional cuando se trata tanto de transmitir la música Balouchi, tradicional de la región de Baluchistán en el sudoeste de Asia, como de robar contactos, recolectar archivos y enviar mensajes SMS.
Sin embargo, la función de SMS no funciona, debido a los recientes controles de Google Play que requieren que una aplicación "se registre activamente como SMS predeterminado o controlador Asistente en el dispositivo".
Lukas Stefanko, investigador de malware de Android en ESET, dice que el spyware basado en AhMyth está disponible en tiendas de aplicaciones alternativas y ha sido promocionado en Instagram y YouTube. A pesar de informar las campañas a los proveedores de servicios, no hubo respuesta.
La aplicación maliciosa Radio Balouch se informó por primera vez en Google Play el 2 de julio y se eliminó un día después. Se observó un regreso el 13 de julio y Google actuó rápidamente para arrancarlo. En ambos casos, el número de descargas fue superior a 100.
La investigación de ESET no menciona ninguna medida especial utilizada para superar la verificación de seguridad de Google, lo cual es aún más sorprendente teniendo en cuenta que AhMyth ha estado disponible durante tanto tiempo y no tiene código ofuscado.
Si bien 100 descargas no son mucha distribución, vale la pena señalar que la aplicación de espionaje fue expulsada de la tienda oficial de Android después del informe de ESET.
Las variantes listas para espiar de RB Music todavía están presentes en tiendas de aplicaciones de terceros, dice Stefanko, y el desarrollador configuró las cuentas de Instagram y YouTube con más probabilidades de comenzar a promocionarlo.
"La cuenta de Instagram de los atacantes todavía, en el momento de escribir esto, sirve un enlace a la aplicación que se ha eliminado de Google Play. También han configurado un canal de YouTube con un video que presenta la aplicación; aparentemente, no promocionan ya que el video tiene solo 21 vistas al momento de escribir ".
La investigación de ESET muestra que Radio Balouch ofrece la opción de registrar una cuenta. Sin embargo, esto es solo un atractivo para que el usuario escriba las credenciales de inicio de sesión, ya que cualquier entrada mostrará que la operación fue exitosa.
Stefanko cree que esta funcionalidad es para recolectar inicios de sesión para probarlos en cuentas de otros servicios en ataques de relleno de credenciales.
El investigador advierte que a menos que Google mejore la detección de aplicaciones maliciosas, es probable que aparezcan clones de esta aplicación o derivados de AhMyth en Play Store.
"Si bien el imperativo clave de seguridad" Seguir con las fuentes oficiales de aplicaciones "aún se mantiene, por sí solo no puede garantizar la seguridad. Se recomienda encarecidamente que los usuarios analicen cada aplicación que pretenden instalar en sus dispositivos y utilicen una solución de seguridad móvil acreditada". - Lukas Stefanko
Fecha actualización el 2021-08-23. Fecha publicación el 2019-08-23. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil