Análisis de malware
Judy Malware: millones de dispositivos Android potencialmente expuestos
5 de junio de por Admin
Ha vuelto a suceder; Los expertos en seguridad han descubierto una aplicación maliciosa dentro de la tienda oficial de Google Play. El nuevo malware, denominado «Judy», está diseñado para infectar dispositivos Android y generar clics falsos en anuncios. Según los investigadores de malware de Checkpoint Software, los delincuentes utilizaron el malware Judy para generar ingresos a partir de los clics en publicidad falsa.
La nueva aplicación maliciosa pasó por alto los controles de Google y, según los expertos, puede estar presente en 41 juegos populares implementados en Play Store durante años si se confirma que más de 36 millones de usuarios pueden haber sido infectados con el adware Judy.
«Los investigadores de Check Point descubrieron otra campaña de malware generalizada en Google Play, la tienda de aplicaciones oficial de Google. El malware, denominado «Judy», es un adware de clic automático que se encontró en 41 aplicaciones desarrolladas por una empresa coreana», afirma el análisis publicado por Punto de control . «Las aplicaciones maliciosas alcanzaron una sorprendente distribución de entre 4,5 millones y 18,5 millones de descargas. También encontramos varias aplicaciones que contienen el malware, que fueron desarrolladas por otros desarrolladores en Google Play. Estas aplicaciones también tuvieron una gran cantidad de descargas entre 4 y 18 millones. lo que significa que la propagación total del malware puede haber alcanzado entre 8,5 y 36,5 millones de usuarios.»
Las aplicaciones afectadas que contienen el código malicioso fueron desarrolladas por una empresa coreana y todas fueron retiradas de Google Play Store. Los expertos también encontraron otras aplicaciones desarrolladas por otros proveedores en Play Store que contenían el mismo malware. No está claro si estas aplicaciones infectadas fueron diseñadas intencionalmente con el adware Judy o simplemente se vieron comprometidas al compartir partes del código.
«También encontramos varias aplicaciones que contienen malware, que fueron desarrolladas por otros desarrolladores en Google Play. La conexión entre las dos campañas sigue sin estar clara y es posible que una haya tomado prestado el código de la otra, a sabiendas o sin saberlo». lee el informe publicado por CheckPoint Security .
1: Aplicación móvil en Google Play Store infectada con Judy Adware
Los investigadores notaron similitudes con otras dos aplicaciones de malware, «Falseguide» y «Skinner», que eludían el sistema de control y seguridad de Google. Todos los diseños de aplicaciones maliciosas parecen ser similares en el sentido de que utilizaban enlaces de comunicación con un servidor de comando y control para su funcionamiento. Una vez que se establecía el vínculo, el Command Server descargaba el software malicioso en el usuario desprevenido.
¿Cómo pasa la aplicación maliciosa los controles de Google?
Los desarrolladores de malware primero diseñarían y subirían un programa de cebo a Google Play Store; parecen ser juegos o diseños de vestidos de muñecas simulados dirigidos a niños. Las aplicaciones de cebo pueden eludir el sistema de verificación de Google, ya que no contienen ningún código malicioso. Las aplicaciones aparentemente parecen válidas porque están diseñadas para comunicarse con una URL específica para obtener datos adicionales del juego del usuario, como diseños de vestidos actualizados para muñecas infantiles. La URL es la dirección del servidor Command desde donde las aplicaciones descargan las cargas maliciosas.
«Para evitar Bouncer, la protección de Google Play, los piratas informáticos crean una aplicación cabeza de puente aparentemente benigna, destinada a establecer una conexión con el dispositivo de la víctima e insertarla en la tienda de aplicaciones. Una vez que un usuario descarga una aplicación maliciosa, registra silenciosamente receptores que establecen una conexión con el servidor CC. El servidor responde con la carga útil maliciosa real, que incluye código JavaScript, una cadena de agente de usuario y URL controladas por el autor del malware». leen los expertos.
Uno, un usuario iniciará una aplicación maliciosa; el servidor de comandos proporcionaría la carga maliciosa que infecta al usuario desconocido con un navegador web silencioso e invisible que utiliza JavaScript. El adware aprovecha el código JavaScript para localizar y hacer clic en los banners de los anuncios de Google una vez que el usuario visita uno de los sitios web para los que fue diseñado. El navegador silencioso simularía entonces que un usuario hace clic en los anuncios y pancartas de pago. Cada usuario infectado, sin saberlo, haría clic miles de veces al día en anuncios que generan ingresos para el desarrollador de malware que engaña a los anunciantes que pagan.
Además de la actividad de hacer clic, Judy también muestra una gran cantidad de anuncios. En muchos casos los anuncios mostrados por Judy obligan a los usuarios a hacer clic en el anuncio para cerrarlo. Este comportamiento fue notado por los usuarios que lo informaron en la sesión de comentarios de la aplicación en la tienda oficial.
Según Checkpoint, todas las aplicaciones de malware fueron desarrolladas por una única empresa coreana llamada Kiniwini, registrada en Google Play como ENISTUDIO corp.
«La empresa desarrolla aplicaciones móviles para plataformas Android e iOS», afirma el boletín de Checkpoint.
«Es bastante inusual encontrar una organización real detrás del malware móvil, ya que la mayoría de ellos son desarrollados por actores puramente maliciosos. Es importante tener en cuenta que la actividad realizada por el malware no es publicidad límite, sino definitivamente un uso ilegítimo por parte de los usuarios. ‘ dispositivos móviles para generar clics fraudulentos, beneficiando a los atacantes.»
Google es consciente de las técnicas adoptadas por los delincuentes para eludir su; está publicando nuevas pautas de privacidad y seguridad para los desarrolladores y aumentando los controles contra actividades fraudulentas. El uso de un sistema de comunicación secundario aún puede eludir los controles de seguridad implementados por Google; el gigante de TI no puede analizar el malware almacenado en un servidor Command separado durante el proceso de carga y activación para los desarrolladores.
No es inusual que los desarrolladores de aplicaciones utilicen un enlace de comunicación a URL específicas. Muchos juegos y aplicaciones de usuario requieren un enlace para actualizar datos comunes, generar ingresos por juegos y agregar funciones adicionales. El diseño de utilizar un servidor Command malicioso para instalar malware funcional es algo que anteriormente estaba reservado a agencias de inteligencia y organizaciones criminales de piratas informáticos.
Google está implementando nuevas medidas para proteger a los usuarios de Android
La eficacia de amenazas como el malware Judy está empujando a los gigantes de TI a adoptar nuevas soluciones para evitar su propagación.
Google ha anunciado recientemente el despliegue de otro sistema de defensa de seguridad, llamado Google Play Protect , que fue diseñado para proteger los dispositivos que ejecutan el sistema operativo móvil Android.
Google ya utiliza varias medidas de seguridad para proteger los dispositivos móviles, Verify Apps y el servicio Bouncer son las medidas de defensa más importantes implementadas por la empresa. Desafortunadamente, una vez que las aplicaciones se cargan en Play Store y se instalan en el dispositivo del usuario, Google no puede monitorear el comportamiento de las aplicaciones ni detectar las maliciosas.
2: Protección de Google Play
Google Play Protect implementa un análisis de uso de aplicaciones y aprendizaje automático para identificar cualquier actividad maliciosa en el dispositivo móvil.
El nuevo sistema está integrado en la aplicación Google Play Store; esto significa que su uso es transparente para el usuario final que no necesita instalarlo ni habilitarlo en su dispositivo.
«Google Play Protect trabaja continuamente para mantener seguros su dispositivo, sus datos y sus aplicaciones. Analiza activamente su dispositivo y mejora constantemente para garantizar que tenga lo último en seguridad móvil. Su dispositivo se analiza automáticamente las 24 horas del día, para que pueda descansar fácil.» lee la descripción publicada por Google.
Google Play Protect para implementa las siguientes funciones:
- Escaneo de aplicaciones
- Medidas antirrobo
- Protección del navegador
El nuevo servicio de protección se implementará en todos los dispositivos móviles con Android durante las próximas semanas.
El rendimiento anunciado por Google es impresionante, el escaneo de aplicaciones es un servicio siempre activo en los dispositivos, puede escanear 50 mil millones de aplicaciones cada día en mil millones de dispositivos móviles Android para detectar aplicaciones maliciosas.
Google Play Protect también monitoriza las aplicaciones móviles que han sido instaladas por los usuarios desde tiendas de terceros, circunstancia que es muy frecuente. En muchos casos, los usuarios de Android descargan aplicaciones móviles de tiendas no oficiales, recientemente compré un dron que permite al usuario acceder a la cámara incorporada a través de una aplicación móvil que está disponible para descargar desde un servidor ubicado en China, y muchos otros dispositivos IoT. están controlados por aplicaciones similares alojadas en tiendas de terceros.
Los componentes clave del nuevo servicio implementado por Google son los algoritmos de aprendizaje automático que comparan el comportamiento de las aplicaciones y pueden identificar cualquier comportamiento que coincida con patrones maliciosos.
El sistema de aprendizaje automático se actualiza periódicamente para identificar y mitigar nuevas amenazas cibernéticas; cada vez que se detecta una aplicación maliciosa, el servicio Google Play Protect advierte al usuario o incluso desactiva la aplicación.
«Con más de 50 mil millones de aplicaciones analizadas cada día, nuestros sistemas de aprendizaje automático están siempre atentos a nuevos riesgos, identificando aplicaciones potencialmente dañinas y manteniéndolas fuera de su dispositivo o eliminándolas. Todas las aplicaciones de Google Play pasan por un riguroso análisis de seguridad incluso antes se publican en Play Store y Play Protect te advierte sobre aplicaciones malas que también se descargan de otras fuentes». afirma una publicación de blog publicada por Google. «Play Protect vigila cualquier aplicación que pueda salirse de línea en su dispositivo, manteniéndolo a usted y a todos los demás usuarios de Android seguros».
El sistema de noticias implementado por Google también ofrece medidas antirrobo, el Administrador de dispositivos Android ha sido reemplazado por Find My Device, que permite a los usuarios localizar dispositivos perdidos o extraviados. La nueva función está disponible a través del navegador del usuario o cualquier otro dispositivo móvil. El servicio también permite borrar datos del dispositivo perdido de forma remota.
Otra característica interesante implementada por Google es la función Navegación segura en Chrome, Google Play Protect protege a los usuarios mientras navegan.
La función bloqueará sitios web maliciosos que fueron diseñados para enviar códigos maliciosos a los dispositivos móviles.
Permítanme terminar con una consideración: a pesar del esfuerzo de las empresas de seguridad y los gigantes de TI, es importante que los usuarios adopten las mejores prácticas para proteger sus dispositivos móviles, como instalar soluciones de protección e instalar solo las aplicaciones necesarias.
Tenga cuidado con los ataques de phishing móviles que son cada vez más insidiosos.
Referencias
http://blog.checkpoint.com//05/25/judy-malware-possively-largest-malware-campaign-found-google-play/
http://securityaffairs.co/wordpress/59601/malware/judy-malware-android.html
http://securityaffairs.co/wordpress/59309/mobile-2/google-play-protect.html