Las amenazas de Google Play en la Dark Web son un gran negocio

Según Kaspersky, las infecciones de Android también prevalecen en la dark web. Aprenda cómo proteger a su fuerza laboral de estas amenazas de seguridad móviles y BYOD.

Imagen: Marcos Silva/Adobe Stock

La nueva investigación de Kaspersky, basada en el monitoreo de sitios de pastebin y foros clandestinos de ciberdelincuentes en línea restringidos, se centra en los tipos de servicios maliciosos que ofrecen los ciberdelincuentes en la dark web.

Los investigadores de seguridad han descubierto que las amenazas de Google Play y las infecciones de teléfonos Android son un gran negocio. Por ejemplo, una cuenta de desarrollador de Google Play cuesta entre $60 y $200, según las características de la cuenta, como la cantidad de aplicaciones desarrolladas o la cantidad de descargas. Entre $1,000 y $20,000 para desarrollo o alquiler de robots.

Salta a:

¿Cómo acaba el malware en Google Play?

En Google Play, antes de que una aplicación de Android esté disponible para los usuarios, pasa por un proceso de revisión para verificar que cumpla con ciertos estándares y se adhiera a las políticas del desarrollador para garantizar que no sea dañina o maliciosa.

Sin embargo, los ciberdelincuentes aún pueden distribuir contenido malicioso a través de la plataforma. Uno de los métodos más comunes es aprobar una aplicación benigna en Google Play y luego actualizarla con contenido malicioso o malware, lo que podría poner en peligro a todos los usuarios de la aplicación y posiblemente a la red de su empleador.

No es raro que los usuarios lleven al trabajo dispositivos móviles personales que pueden almacenar contraseñas corporativas u otra información que podría ayudar a los atacantes a comprometer las redes corporativas.

mirar: Aprenda cómo BYOD y las aplicaciones personales pueden conducir a filtraciones de datos.

Además, las empresas con cuentas de desarrollador de Google Play podrían convertirse en objetivos de ataques a la cadena de suministro al modificar partes de su código para agregar malware, como ladrones de información.

¿Qué es el cargador de Google Play?

El cargador de Google Play es una pieza de código cuyo propósito es inyectar código malicioso en las aplicaciones de Google Play. Son algunas de las ofertas más habituales en la dark web.

Google Play Loader está disponible en foros clandestinos.Imagen: Kaspersky

El código inyectado luego se actualiza en Google Play. Cuando las víctimas descargan la actualización maliciosa en su dispositivo, pueden recibir una carga útil final o una notificación que les pide que permitan la instalación de la aplicación desconocida, que luego se instala desde una fuente externa.

En este último caso, la notificación continúa hasta que el usuario acepta instalar la aplicación adicional. Después de la instalación, se solicita a los usuarios que otorguen acceso a datos críticos, como servicios de accesibilidad, cámara y micrófono. Es posible que las víctimas no puedan usar la aplicación legítima original hasta que se otorguen estos permisos.

Los vendedores suelen indicar los tipos de aplicaciones legítimas que su cargador puede usar y la cantidad de descargas de la aplicación. Según los investigadores, estas aplicaciones suelen ser rastreadores de criptomonedas, aplicaciones financieras, escáneres de códigos QR o aplicaciones de citas. Los atacantes han comprometido aplicaciones populares legítimas utilizadas en entornos empresariales, como aplicaciones de escaneo de documentos, o han usado aplicaciones que imitan aplicaciones conocidas como WhatsApp o Telegram.

El código fuente del cargador está disponible para la venta. Kaspersky informa que el código fuente del cargador que se subasta comienza en $1500 en incrementos de $200, con un precio de compra inmediato de $7000.

¿Cómo confunde el enlace de archivos con el malware?

Informes de seguridad de lectura obligada

La agrupación de archivos es una técnica que utilizan los atacantes para combinar o fusionar código malicioso con archivos legítimos en cualquier sistema operativo, lo que dificulta que las soluciones de seguridad detecten malware. Estos archivos generalmente no se distribuyen en Google Play, sino a través de ingeniería social o sitios web que distribuyen juegos o software pirateados.

Dado que la distribución de tales aplicaciones es más difícil que las aplicaciones que se ofrecen a través de Google Play, el precio es mucho más económico que el del cargador, entre $50 y $100.

Un servicio similar es un servicio de ofuscación de malware, donde los proveedores ofuscan un código de malware determinado para eludir los sistemas de seguridad. El servicio se puede pagar por suscripción o por archivo. Un archivo cuesta alrededor de $30 y una suscripción de 50 archivos cuesta alrededor de $440.

Los costos de aumentar las tasas de infección varían según el país

Algunos ciberdelincuentes ofrecen aumentar las tasas de infección dirigiendo el tráfico a las aplicaciones a través de los anuncios de Google. Usando esta técnica, el malware se convierte en el primer resultado de búsqueda de Google y es descargado por víctimas desprevenidas. Si bien el SEO es legal y se puede usar para generar tantas descargas como sea posible, también se puede usar para difundir contenido fraudulento entre países. El costo de aumentar las tasas de infección varía según el país, ya que algunos países son más atractivos para los ciberdelincuentes que otros.

Estos van desde alrededor de $ 0,10 a $ 1, siendo EE. UU. el más caro con alrededor de $ 0,80, además de Canadá y Australia. Le siguen los países europeos con alrededor de $0,50 y los llamados países de tercer nivel con alrededor de $0,25.

Malware Android para cualquier tipo de ciberdelito

El malware en Android se puede utilizar para cualquier tipo de fraude. En la web oscura se compran y venden todo tipo de malware, incluidos los troyanos bancarios y el malware de espionaje cibernético.

Los atacantes interesados ​​en el fraude financiero tienden a apuntar a tantos dispositivos Android como sea posible para recopilar datos, como información de tarjetas de crédito. Por lo tanto, tiene sentido que intenten distribuir su malware lo más ampliamente posible en Google Play.

Los ataques dirigidos son diferentes porque se basan principalmente en técnicas de ingeniería social para engañar a los usuarios objetivo para que instalen aplicaciones maliciosas. Debido a que se acercan a sus víctimas por correo electrónico o aplicaciones de mensajería instantánea, necesitan que su malware sea más cauteloso y, por lo general, no usan Google Play para estos ataques.

Cómo protegerse contra esta amenaza a la seguridad

• Utilice la autenticación multifactor para su cuenta de desarrollador en plataformas de aplicaciones como Google Play.
• Supervise la dark web en busca de fugas de credenciales y acceso que los atacantes podrían aprovechar para comprometer cualquier aplicación que creen los desarrolladores de su empresa.
• Eduque a los empleados sobre las amenazas de los teléfonos móviles. Se les recomienda que nunca descarguen ninguna aplicación de ninguna tienda no oficial, incluso si el enlace de instalación parece ser de la empresa. Deben comunicarse con TI si no están seguros de si el enlace de instalación es válido y legítimo.
• Al instalar una aplicación, los usuarios deben verificar cuidadosamente los permisos solicitados por la aplicación. Por ejemplo, un escáner de código QR no debería pedir permiso para enviar un SMS.
• Recuerde a los empleados que actualicen y parchen el sistema operativo de los dispositivos móviles de manera oportuna.

Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.