La determinación de los cibercriminales de infectar dispositivos Android es cada vez mayor. Y es que, como ya hemos visto en varias ocasiones, los ciberdelincuentes tiene predilección por Android. Los sistemas abiertos son más susceptibles a ser vulnerables a los malwares, lo que hace del sistema de Google una diana perfecta en materia de cibercrimen.

El últim intento de infectar este tipo de dispositivos lo han descubierto analistas de Kaspersky Lab al encontrar apps Ztorg en la tienda de Google Play.La existencia de este tipo de aplicaciones en la tienda oficial de Google permite pensar que los cibercriminales están probando diferentes formas para burlar las medidas de seguridad de este ecosistema. En este caso, buscan romper las barreras del gigante estadounidense mediante la instalación de su código malicioso por etapas y envolviendo un SMS troyano alrededor de un troyano de direccionamiento cifrado.

Los ciberatacantes utilizan el troyano SMS para hacerse con dinero de sus víctimas mediante servicios SMS Premium, mientras esperan a que se ejecute el troyano de direccionamiento. Las apps han sido descargadas más de 50 mil veces desde mediados de mayo de 2017, pero parece que ya han sido eliminadas de Google Play.

La determinación de los cibercriminales de infectar dispositivos Android, utilizando malware Ztorg a través de la tienda Google Play no da signos de debilidad, adaptando continuamente sus herramientas y técnicas para evitar ser descubiertos. En mayo de 2017, los analistas de Kaspersky Lab descubrieron lo que parecía ser una variante aislada de Ztorg, un troyano SMS. Un análisis más en detalle permitió ver que contenía un troyano cifrado Ztorg de direccionamiento. El SMS Ztorg fue encontrado en dos apps, el buscador “Magic Browser” y una aplicación “Noise Detector” de detección de ruido.

La app, que llegó a descargarse en más de 50.000 ocasiones, se subió a Google Play el 15 de mayo, 
y nunca se actualizó, posiblemente porque era un test para comprobar si funcionaba.

 

El análisis realizado por los expertos de Kaspersky Labs sugiere que el propósito final de los criminales era llegar a ejecutar una versión normal del troyano Ztorg. Pero, desde que optaron por una estrategia por etapas en la que se iban a realizar toda una serie de actualizaciones – tanto limpias como maliciosas- y mientras esperaban a que el malware de direccionamiento se ejecutara, decidieron añadir una funcionalidad suplementaria con la intención de conseguir recursos.

La funcionalidad SMS Ztorg permite a la aplicación enviar mensajes SMS premium, borrar la entrada de nuevos SMS y apagar el sonido. Como decimos, parece que la vulnerabilidad ha sido eliminada de la tienda de Google pero, desde Kaspersky Labs aseguran que “el troyano Ztorg va a seguir apareciendo en la tienda de Google Play, acompañado de nuevos trucos pensados para evitar las medidas de seguridad e infectar el mayor número posible de dispositivos Android y demás versiones de sistemas operativos”.

Y no es de extrañar ya que, en los últimos meses hemos visto como cada vez son más los cibercriminales que aprovechan antiguas vulnerabilidades para realizar sus ataques. Es el caso de WannaCry o Petya basados en una vulnerabilidad conocida desde hace meses, pero no son los únicos. 

Para evitar ser infectado por este malware, Kaspersky Lab aconseja a los usuarios que instalen en su dispositivo una solución de seguridad fiable, comprobar siempre que las aplicaciones han sido diseñadas por desarrolladores de confianza, que el sistema operativo y las aplicaciones se actualizan permanentemente y, por supuesto, no descargar nada que parezca sospechoso o cuyo origen no puede verificarse.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia @Drodriguezleal

Deja un comentario