Clicky

Aplicaciones de Android con malware usan el sensor de movimiento para evadir la detección

Categoría: Seguridad
Visitas: 1518
troyano bancario Anubis

Descargan el troyano bancario Anubis en el dispositivo infectado

Incluso después de tantos esfuerzos por parte de Google para evitar que su Play Store se convirtiera en malware, las aplicaciones no autorizadas lograron engañar a sus protecciones antimalware e iniciar su servicio para infectar a los usuarios de Android con malware.

Recientemente dos de esas aplicaciones de Android fueron detectadas en Google Play Store por investigadores del equipo de investigación de malware de Trend Micro, que infectaron con malware bancario a miles de usuarios de Android que ya las habían descargado.

Las aplicaciones en cuestión se disfrazan como una aplicación de cambio de moneda llamada Convertidor de divisas (Currency Converter) y una de ahorro de batería llamada BatterySaverMobi, y utilizan entradas de sensores de movimiento de dispositivos Android infectados para monitorearlos antes de instalar un peligroso troyano bancario llamado Anubis.

Las aplicaciones maliciosas de Android, con un gran número de reseñas falsas de cinco estrellas, usan este inteligente truco en lugar de las técnicas tradicionales de evasión para evitar la detección cuando los investigadores ejecutan emuladores (que tienen menos probabilidades de usar sensores) para detectar tales aplicaciones maliciosas.

apps con sensor de movimiento

"Cuando un usuario se mueve, su dispositivo generalmente genera cierta cantidad de datos del sensor de movimiento. El desarrollador de malware está asumiendo que el sandbox para escanear malware es un emulador sin sensores de movimiento, y como tal no creará ese tipo de datos", explicaron los investigadores en una entrada del blog publicada el jueves.

"Si ese es el caso, el desarrollador puede determinar si la aplicación se está ejecutando en un entorno de sandbox simplemente revisando los datos del sensor".

Una vez descargada, la aplicación maliciosa utiliza el sensor de movimiento del dispositivo infectado para detectar si el usuario o el dispositivo se están moviendo. Si tanto el dispositivo como el usuario siguen parados, el código malicioso no se ejecutará.

Tan pronto como detecta los datos del sensor, la aplicación ejecuta el código malicioso y luego trata de engañar a las víctimas para que descarguen e instalen el APK malicioso de carga útil de Anubis con una falsa actualización del sistema, haciéndose pasar por una "versión estable de Android".

falsa actualización de Android

No solo detección de movimiento ... hay más

Si el usuario aprueba la falsa actualización del sistema, el instalador de malware incorporado utiliza solicitudes y respuestas sobre servicios legítimos, incluidos Twitter y Telegram, para conectarse a su servidor de control y comando (C&C) requerido y descarga el troyano bancario Anubis en el dispositivo infectado.

"Una de las formas en que los desarrolladores de aplicaciones ocultan el servidor malintencionado es codificándolo en las solicitudes de las páginas web de Telegram y Twitter. El dropper de malware del banco solicitará a Telegram o Twitter después de confiar en el dispositivo en ejecución", explicaron los investigadores.

"Luego, se registra en el servidor C&C y comprueba los comandos con una solicitud HTTP POST. Si el servidor responde a la aplicación con un comando APK y adjunta la URL de descarga, la carga útil de Anubis se ejecutará en segundo plano".

Una vez comprometido, el troyano bancario Anubis obtiene las credenciales de la cuenta de los usuarios mediante el uso de un registrador de teclas integrado o la captura de pantallas de la pantalla de los usuarios cuando insertan credenciales en cualquier aplicación bancaria.

Por lo general, los troyanos bancarios inician una pantalla de superposición falsa en la parte superior de las páginas de inicio de sesión de la cuenta bancaria para robar las credenciales bancarias.

Según los investigadores de Trend Micro, la última versión de Anubis se ha distribuido a 93 países diferentes y se dirige a los usuarios de al menos 377 variaciones de aplicaciones financieras para extraer los detalles de las cuentas bancarias.

El troyano bancario también tiene la capacidad de obtener acceso a las listas de contactos y la ubicación, enviar mensajes de spam a los contactos, llamar a los números desde el dispositivo, grabar audio y modificar el almacenamiento externo.

Desde entonces, Google ha eliminado las dos aplicaciones maliciosas de su Play Store. Aunque es una preocupación sin fin, la mejor manera de protegerse contra este tipo de malware es estar siempre atento al descargar aplicaciones, incluso desde la tienda oficial de Google Play.

Lo más importante es tener cuidado con las aplicaciones a las que otorga derechos administrativos, ya que es un poderoso permiso que puede proporcionar un control total del dispositivo.