Los investigadores de ciberseguridad de McAfee han descubierto más de una docena de aplicaciones maliciosas acechando en el Google Tienda de juegos.
Los investigadores afirman que estas aplicaciones llevaban una potente pieza de malwarecapaz de robar datos confidenciales de los dispositivos Android infectados y posiblemente incluso realizar fraude publicitario.
Las aplicaciones se descargaron al menos 330.000 veces.
Servicio de Accesibilidad
Según los investigadores, la puerta trasera se llama «Xamalicious» y hasta ahora se ha descubierto en las siguientes aplicaciones:
– Horóscopo Esencial para Android – 100.000 instalaciones
– Editor de máscaras 3D para PE Minecraft – 100.000 instalaciones
– Logo Maker Pro – 100.000 instalaciones
– Repetidor de clic automático: 10 000 instalaciones
– Calculadora de calorías fácil de contar: 10 000 instalaciones
– Puntos: conector de una línea: 10 000 instalaciones
– Extensor de volumen de sonido: 5000 instalaciones
Después de ser etiquetado como malicioso, Google eliminó estas aplicaciones de su repositorio de aplicaciones.
Si bien la acción de Google es encomiable, la medida no protege a los usuarios que ya descargaron las aplicaciones en el pasado y, según se informa, algunas han estado disponibles para descargar desde mediados de 2020. Tendrán que eliminarlos manualmente y utilizar un programa antivirus o un limpiador para eliminar los cabos sueltos.
La mayoría de las víctimas se encontraron en Estados Unidos, Reino Unido, Alemania, España, Australia, Brasil, México y Argentina.
Para funcionar correctamente, el malware solicita a la víctima que le otorgue permisos del Servicio de Accesibilidad, lo que suele ser una señal de alerta y debería ayudar a la mayoría de las personas a identificar una aplicación maliciosa de una legítima.
Dicho esto, con la Accesibilidad habilitada, el malware puede capturar información del dispositivo y del hardware, incluido el ID de Android, la marca, la CPU, el modelo, la versión del sistema operativo, el idioma, el estado de las opciones de desarrollador, los detalles de la tarjeta SIM y el firmware. Además, puede identificar la ubicación física del dispositivo, el nombre del ISP, la organización y los servicios. También viene con algunas características que le ayudarán a determinar si está instalado en un dispositivo original o en un emulador.
Finalmente, el malware puede extraer una carga útil de segunda etapa del servidor C2.
A través de pitidocomputadora