Los investigadores de Check Point identificaron un nuevo tipo de malware extorsionista para Android llamado Charger. Este malware estaba integrado en EnergyRescue, una utilidad de administración de energía de la batería, distribuida a través Play de Google.
La empresa Check Point detectó la aplicación infectada hace tres semanas. Google ya la ha eliminado de su tienda. Según los expertos, distribuir malware mediante Google Play es un paso muy atrevido de los delincuentes, por lo que la abrumadora mayoría de malware para Android se distribuye a través de sitios de terceros.
“Charger puede indicar que los desarrolladores de malware móvil están haciendo más esfuerzos por ponerse al día con sus colegas que escriben malware para PC,” escriben los analistas Oren Koriat y Andrey Polkovnichenko en el blog de Check Point. En los comentarios, los investigadores de Threatpost declararon: “EnergyRescue tiene el más extenso arsenal de evasión de análisis que hemos visto”.
Según ellos, la mayor parte del malware que se las arregla para infiltrarse en Google Play, está diseñado para mostrar anuncios no solicitados, que proporcionan ganancias a los estafadores. Sin embargo, Charger tiene otros objetivos. Después de instalar una aplicación infectada, EnergyRescue roba los contactos y SMS de la víctima y trata de conseguir privilegios de root. “Si el usuario se los proporciona, el extorsionista bloquea el dispositivo y muestra un mensaje exigiendo un rescate,” dicen los investigadores.
El tamaño del rescate es de 0,2 bitcoins (180 dólares). El texto que Charger muestra es bastante primitivo, lleno de signos de exclamación y el mensaje comienza con una amenaza: “Tiene que pagarnos, porque de lo contrario venderemos una parte de su información personal en el mercado negro cada 30 minutos”. Los atacantes también garantizan que “los archivos se restaurarán” después de recibir el pago, y que borrarán todos los datos personales que tienen en su poder. “Recopilamos y cargamos todos sus datos personales”, dice el mensaje del malware. “Toda la información de sus redes sociales, cuentas bancarias y tarjetas de crédito. Recopilamos toda la información sobre sus amigos y familiares”.
Pero en realidad, Charge no cifra la información, sino que sólo bloquea el smartphone y exige un rescate. “La mayor parte de los programas maliciosos encontrados en Google Play contienen sólo un dropper que una vez instalado, carga los componentes realmente nocivos en el dispositivo”, escriben Koriat y Polkovnichenko. “Charger utiliza un enfoque diferente: viene cuidadosamente empacado, lo que le impide pasar desapercibido, y tiene que compensar este defecto por otros medios”.
Una de las técnicas de camuflaje es la codificación de cadenas en matrices binarias que son difíciles de analizar. Charger también “carga también dinámicamente código de los recursos cifrados y la mayor parte de la unidad de detección no pueden penetrarlo y analizarlo”. Para ocultar sus verdaderas intenciones, los delincuentes incrustaron comandos sin sentido en el código de Gauss, que camuflan el flujo de los verdaderos comandos, y también le proporcionaron los medios para detectar si se lo ejecuta en un emulador de sistema operativo de lanzamiento; en cuyo caso, el Charger entra en hibernación. “Esto significa que las herramientas de análisis estático, como Bouncer no pueden analizar las partes cifradas del código responsable de la actividad maliciosa”, explican los investigadores.
Según Check Point, los extorsionadores para dispositivos móviles son un fenómeno relativamente nuevo. La mayoría de estas infecciones ocurre fuera de la tienda oficial de aplicaciones, con la ayuda de programas alojados en sitios web de terceros.
En el breve comentario de Threatpost, los representantes de Google señalan lo siguiente: “Apreciamos los esfuerzos de Check Point para crear conciencia sobre este tema. Hemos tomado medidas y seguiremos trabajando en estrecho contacto con la comunidad de investigadores para garantizar la seguridad de los usuarios de Android”.
Según Google, las aplicaciones en su tienda en línea se evalúan para verificar si cumplen con Las reglas del programa para desarrolladores y el Acuerdo de distribución para programadores. Esto impide los intentos de hacer pasar una aplicación maliciosa como si fuera otra legal o poner en Google play programas que tengan tendencias fraudulentas. En la página dedicada a la seguridad de Android se afirma: “Todas las apps de Android se someten a rigurosas pruebas de seguridad antes de aparecer en Google Play Store. Investigamos a cada programador de apps de Google Play y suspendemos a los que infringen nuestras políticas. De ese modo, comprobamos que una app sea segura aun antes de que la instales”.
Sin embargo, Google también se basa “en la comunidad de usuarios y desarrolladores, que tienen derecho a marcar aplicaciones para que pasen una verificación ulterior.”
Los representantes de Check Point declararon a su vez que EnergyRescue, por lo que saben, es la única aplicación contenida en Charger: “Pensamos que fue una prueba de escritores del virus y que en el futuro podemos esperar la repetición de tales intentos”.
Eliminan de Google Play el malware extorsionista Charger