Un grupo de investigadores ha advertido la existencia de ciberdelincuentes que contratan a otros cibercriminales a través de la 'dark web' para que estos integren aplicaciones fraudulentas y 'malware' en tiendas oficiales como Google Play, llegando a pagar hasta 20.000 euros por sus servicios.
La descarga de aplicaciones siempre ha sido una forma de instalar virus o 'software' en los dispositivos, ya que a través de ellas pueden obtener datos o espiar al usuario. De ahí que las compañías y operadoras recomienden descargarlas de tiendas oficiales, como son Google Play o Apple Store.
Estas 'e-shops' disponen de filtros de seguridad que determinan si se trata de servicios legítimos o no y, normalmente, supervisan las aplicaciones antes de publicarlas. A pesar de ello, se han identificado casos que han logrado evadir los controles de seguridad de estas tiendas.
Así, un grupo de investigadores ha avanzado que una serie de ciberdelincuentes está empleando una serie de métodos para que estos sistemas no puedan detectar aplicaciones maliciosas capaces de infectar los dispositivos y que logran publicar en las plataformas oficiales.
De hecho, se han descubierto "muchos ejemplos" de aplicaciones maliciosas en Google Play tras las quejas de los usuarios afectados, y las 'apps' más comunes para ocultar 'malware' suelen ser rastreadores de criptomonedas, aplicaciones financieras, escáneres de códigos QR e, incluso, servicios relacionados con citas.
Así lo muestra un estudio realizado por Kaspersky, en el que se analiza el mercado ilegal que se ha creado en la 'dark web' y en el que hackers ofrecer estos servicios a otros actores maliciosos. En este análisis, la compañía de ciberseguridad explica varios métodos con los que los actores maliciosos consiguen propagar estas campañas maliciosas a través de 'apps' en Google Play.
En este sentido, los investigadores observaron que estos ciberdelincuentes ofrecen sus servicios a través de anuncios en foros de la 'dark web' o a través de plataformas de mensajería como Telegram.
Una vez establecido el contacto con los posibles compradores, negocian el tipo de servicio que ofrecen para introducir código malicioso en las aplicaciones de Google Play y, dependiendo del objetivo deseado, los hackers pueden cobrar entre 2.000 y 20.000 dólares (esto es, entre 1.815 o 18.155 euros al cambio actual).
Parte de sus servicios incluyen, incluso, la posibilidad de compartir anuncios en Google para atraer a más usuarios y obtener más descargas de la aplicación maliciosa en cuestión. Asimismo, los actores maliciosos presentan reclamos para que se contraten sus servicios, como la promesa de inyectar código malicioso en aplicaciones con hasta 5.000 descargas o más.
Según detalla Kaspersky, los principales productos que compran los atacantes son cuentas de Google Play de desarrolladores, que se obtienen o bien pirateándolas o bien utilizando identidades robadas. Asimismo, también se oferta el código fuente de varias herramientas que ayudan a subir 'apps' a Google Play o servicios como Virtual Private Server (VPS), que los ciberdelincuentes utilizan para controlar los teléfonos infectados.
De igual forma, en los listados de servicios de este mercado ilegal también se encuentran inyecciones basadas en la web, esto es, funcionalidades que monitorean la actividad de las víctimas. Con ello, consiguen que, cuando abran una página web, se pueda reemplazar por otra de carácter malicioso. En este caso, este servicio tiene un precio de desde 25 a 80 dólares (entre 23 y 73 euros, aproximadamente).
Métodos de los ciberdelincuentes
Uno de los métodos más utilizados por los actores maliciosos en estos casos y que más convencen a los compradores de estos servicios es el uso de la técnica de 'cargadores de Google Play', que se cobra a unos 5.000 dólares (4.540 euros).
Esta técnica se basa en cargar una aplicación benigna en Google Play y, posteriormente, lanzar una actualización de la misma con código malicioso. Por tanto, cuando los usuarios descargan la nueva versión, instalan a su vez la carga maliciosa. Además, esta actualización puede llegar a los usuarios en forma de notificación fraudulenta, para que la instalen desde una fuente externa a la tienda oficial.
De hecho, después de descargarla, la aplicación maliciosa solicita al usuario el permiso de acceso a ciertas funciones del dispositivo, como la cámara, el micrófono u otros datos. Si no se les otorga este permiso, no se podrá utilizar.
Los hackers también ofrecen los denominados 'servicios vinculantes' para engañar a las víctimas. Esta técnica se basa en ocultar un archivo malicioso en una aplicación legítima, pero que no sea "necesariamente adecuada" para el mercado oficial de Android. Estas aplicaciones se suelen distribuir a través de textos 'phishing' o sitios web dudosos que ofertan juegos o 'software' pirateado.
Sin embargo, al tratarse de un método menos convincente que el de los cargadores de 'malware', no obtiene una tasa de éxito tan alta y, por tanto, se ofrece como un servicio más barato, con un precio de entre 50 y 100 dólares (entre 45 y 90 euros).
Siguiendo esta línea, otro de los métodos más utilizados es la ofuscación de 'malware'. Con esta táctica, básicamente se eluden los sistemas de seguridad complicando el código malicioso lo suficiente como para que pase desapercibido.
Cómo mantenerse protegido
Kaspersky ha propuesto algunas medidas para aumentar la protección frente a estas amenazas. En primer lugar, desaconseja habilitar la instalación de aplicaciones desconocidas y que provengan de sitios externos a la tienda oficial. Si esto sucede, es posible que se trate de una 'app' infectada y, por tanto, lo mejor es desinstalarla.
Igualmente, se recomienda verificar los permisos de la aplicación en cuestión y revisar que no se trata de permisos que no son necesarios para que la 'app' realice todas sus funciones principales.
Asimismo, siempre es aconsejable actualizar el sistema operativo del dispositivo tan pronto como las actualizaciones estén disponibles. Igualmente, conviene instalar una solución de seguridad para que intercepte estas aplicaciones fraudulentas.