El equipo de Check Point Research, encontró aplicaciones maliciosas en Google Play que afectan de gran manera a los usuarios Android. Estos malwares ocultos conocidos como Sharkbots, pretenden ser aplicaciones de “antivirus” para robar las claves y acceder a las cuentas bancarias de los consumidores.
Los ciberdelincuentes no tienen tiempo libre y han vuelto a meter en problemas a muchos usuarios. Lo hacen utilizando malware oculto en varias aplicaciones de Google Play, robando sus claves bancarias y accediendo fácilmente a sus cuentas. Las principales víctimas son los consumidores de dispositivos Android, ya que Play Store contiene supuestos antivirus gratis, cuando se tratan de aplicaciones maliciosas de SharkBot.
Esto fue descubierto por el equipo de Check Point Research (CPR) mientras analizaba aplicaciones sospechosas encontradas en Google Play. Estas aplicaciones pretenden ser la verdadera solución antivirus cuando en realidad descargan e instalan el Android Stealer llamado , un programa maligno que rebota credenciales e información bancaria. Los malwares utilizan geocercas y técnicas de prevención que las hacen únicas en el campo. También, utilizan un algoritmo de generación de dominio en ingles Dominium generated algorithim (DGA) , un aspecto que rara vez se usa en el mundo del malware para Android.
Asimismo, Sharkbot solicita a las víctimas que ingresen sus credenciales en una ventana que imita un formulario de ingreso de credenciales benignos y cuando el usuario ingresa sus credenciales en estas ventanas, los datos comprometidos se envían a un servidor malicioso.
“Sharkbot tiene un puñado de trucos bajo la manga. No se dirige a todas las víctimas potenciales que encuentra, sino solo a las seleccionadas, utilizando la función de geoperimetraje para identificar e ignorar a los usuarios de China, India, Rumania, Rusia, Ucrania o Bielorrusia.”, comentaron Alex Shamshur y Raman Ladutska del Equipo de Checkpoint Research. “Las técnicas de evasión también forman parte del arsenal de Sharkbot. Si el malware detecta que se está ejecutando en un entorno limitado, detiene la ejecución y se cierra.”
En total la compañía detecto seis aplicaciones malignas, entre ellas son:
5. Center Security – Antivirus.
6. Center Security – Antivirus. (2)
“Estas seis aplicaciones provienen de tres cuentas de desarrollador, Zbynek Adamcik, Adelmio Pagnotto y Bingo Like Inc. Cuando revisamos el historial de estas cuentas, vimos que dos de ellas estaban activas en el otoño de 2021. Algunas de las aplicaciones vinculadas a estas cuentas se eliminaron de Google Play, pero aún existen en mercados no oficiales. Esto podría significar que el actor detrás de las aplicaciones está tratando de pasar desapercibido mientras aún está involucrado en actividades maliciosas. Después de detectar las aplicaciones que propagan Sharkbot, nos comunicamos de inmediato con Google e informamos nuestros hallazgos. Después de un examen rápido pero exhaustivo, todas las aplicaciones que se encontraron propagando Sharkbot se eliminaron permanentemente de la tienda Google Play. Sin embargo, el malware Sharkbot sigue activo.”, señalaron Alex y Raman.
A pesar de una respuesta rápida de Google, que eliminó las aplicaciones vinculadas a las cuentas de los actores de amenazas, se realizaron más intentos en Google Play con más cuentagotas de diferentes cuentas. Todos ellos también fueron retirados posteriormente, pero el daño de 15.000 mil instalaciones ya estaba hecho.
Para evitar este problema, la compañía desarrollo una infraestructura de seguridad de red llamada Harmony Mobile, que evita que el malware se infiltre en los dispositivos móviles al detectar y bloquear la descarga de aplicaciones maliciosas en tiempo real.