Un nuevo malware en la Play Store convierte tu Android en una botnet
Se acaba de descubrir que millones de personas han descargado un software malicioso que se encarga de convertir nuestro dispositivo Android en una botnet y que viene implementado en diversas aplicaciones disponibles en la tienda oficial del sistema, la Play Store.
Esto es algo de lo que se han dado cuenta unos investigadores de seguridad descubriendo un nuevo lote de aplicaciones maliciosas en la misma Google Play, algunas de las cuales ya se han descargado e instalado en alrededor de 2,6 millones de dispositivos. Decir que estas apps infectadas se presentan como legítimas y se usan para modificar el aspecto de los personajes de Minecraft: Pocket Edition. Sin embargo en realidad el verdadero objetivo de este software no es otro que encadenar los dispositivos afectados para así crear una red de bots.
Por lo tanto una vez instalados en el equipo de destino con Android, estas herramientas maliciosas se conectan a un servidor C&C que solicita que la aplicación abra un socket y espere una conexión desde una dirección IP especificada en un puerto indicado de inicio. De este modo, una vez establecida la conexión, se le ordena a la aplicación que se conecte a otro servidor desde el cual recibe una lista de anuncios y metadatos asociados.
Decir que aunque las herramientas infectadas se utilizaron para generar ingresos ilegítimos por publicidad, los creadores de botnets pudieron haber forzado a los dispositivos afectados a participar en estos ataques. Y es que la topología de los proxy es altamente flexible, por lo que podría ampliarse fácilmente para aprovechar una serie de vulnerabilidades basadas en la red, todo con el fin de potencialmente traspasar los límites de la seguridad en los dispositivos.
De este modo, además de permitir ataques arbitrarios a la red, esta infección también podría aprovecharse para montar un ataque distribuido de denegación de servicio o DDoS, afirman los investigadores implicados.
Una malware de Android se ocultaba en ocho aplicaciones de la Play Store
Este malware, apodado Sockbot, se encontró escondido en ocho aplicaciones disponibles en la misma tienda oficial del sistema operativo, la Google Play, todas ellas ofrecidas por una única cuenta de desarrollador. Es más, el autor ha hecho todo lo posible para ocultar su verdadera naturaleza a los investigadores y usuarios. El hecho de que las aplicaciones maliciosas se hayan instalado en cientos de miles, y algunas de ellas en millones, de dispositivos, deja patente la habilidad del autor para estas tareas.
Las cadenas de las claves del código malicioso están encriptadas, por lo que la detección de este malware es mucho más complicado de lo que sucede en otros casos. Además el propio desarrollador firma cada una de las aplicaciones con una clave diferente, lo que ayuda a evitar la heurística basada en los análisis estáticos. Es fácil ver cómo algunas soluciones de seguridad móvil pueden haber pasado por alto la naturaleza maliciosa de la aplicación. En cuanto a los usuarios, era poco probable que se dieran cuenta de que la aplicación estaba haciendo algo inapropiado, ya que no mostraba anuncios inesperados y aparentemente ofrecía la funcionalidad anunciada .
Una vez se descubrió todo, las aplicaciones maliciosas se han eliminado de la Google Play, por lo que poco a poco se está reduciendo el número de dispositivos comprometidos.