Skinner : un nuevo malware para movíles

Descargada por más de 10.000 usuarios, Skinner es un malware insertado en el código de una app relacionada con los videojuegos, y que ha sido descargado desde la tienda oficial de Android, donde ha estado disponible durante más de dos meses. Este malware es capaz de «rastrear la ubicación y las acciones del usuario, y ejecutar códigos desde su servidor Command and Control sin el permiso del dueño del terminal» aseguran los expertos de Checkpoint que descubrió esta nueva amenaza, y contactó con el equipo de seguridad de Google, que eliminó la app.

Pero, ¿qué hace exactamente esta aplicación? Una vez instalada, cuando el adware detecta una acción por parte del usuario, como abrir una aplicación, comprueba varias condiciones antes de iniciarse, como que no haya ningún depurador ni hardware de emulación conectado, o que la aplicación se haya instalado desde Google Play. Lo hace para evitar a los investigadores y sus métodos de protección. Una vez iniciado, el malware envía al servidor C&C datos sobre el dispositivo como su ubicación y las aplicaciones abiertas. El centro de control, a su vez, envía anuncios maliciosos que mostrará el terminal infectado.

Mientras que otros adware se basan en la propagación masiva para generar grandes ganancias, Skinner logra la misma cantidad de ingresos infectando a menos usuarios, minimizando así el riesgo de que las empresas de seguridad les detecten. Cuanto menor es la propagación de un malware, más pequeña será la probabilidad de que se disparen las alarmas y se someta a inspecciones de seguridad.

Skinner utiliza una estrategia avanzada para asegurarse de que el usuario no es consciente de que está visualizando publicidad fraudulenta, lo que aumenta la probabilidad de que haga clic en ella. En lugar de simplemente mostrar banners o pop-ups, el malware comprueba qué tipo de aplicación se está utilizando en un momento dado, y muestra el anuncio adecuado. Este es un comportamiento completamente nuevo para un adware para móviles, aunque ya se había visto malware bancario que actuaba de esta forma. Se prevé que este tipo de «marketing» adaptado crezca de forma drástica en los próximos meses. Las cuatro categorías de apps que descarga son de navegación GPS, de llamadas, de utilidad y de navegador web.

Además, Skinner utiliza la ocultación personalizada, una nueva y elaborada táctica que lo hace casi indetectable. A pesar de que no ha realizado ningún ataque a gran escala, ha demostrado una vez más que no se debe confiar en la seguridad de las apps disponibles en las tiendas oficiales.

Check Point cree que este modus operandi será adoptado y perfeccionado por otras familias de publicidad maliciosa en un futuro próximo, y perfeccionado para mejorar su método de evasión Esto pondrá en peligro a los usuarios de todo el mundo, que necesitarán herramientas de seguridad avanzada en sus teléfonos para estar completamente protegidos.