Una “linterna” en Google Play llevaba en sí un programa malicioso

Una aplicación que contiene una modificación del malware extorsionista Charger se filtró en Google Play y fue descargada por lo menos cinco mil veces.

En enero de este año se había descubierto la versión anterior de Charger. El malware extorsionista, que exigía un rescate de 0,2 bitcoins por la recuperación de datos, venía escondido en Energy Rescue, una utilidad de control de energía de la batería, distribuida a través de Google Play

La nueva versión del malware estaba incluida en la aplicación linterna Flashlight LED Widget, en apariencia legítima. Pero, a diferencia de la versión anterior, su verdadero objetivo no es cobrar un rescate por desbloquear la pantalla.

El Charger renovado funciona en todas las versiones de Android y sabe ocultar su verdadera naturaleza. Muestra pantallas de phishing que imitan funciones de aplicaciones legales, intercepta mensajes de texto y bloquea temporalmente el dispositivo para impedir que se neutralicen sus procesos nocivos.

Al instalarse, el malware pide al usuario derechos de administrador y permiso para superponer su ventana a la de otras aplicaciones (en la versión de Android 6.0 y superiores).

La nueva versión, que lleva el nombre clave Charger.B, utiliza Firebase Cloud Messages (FCM) para conectarse al servidor de administración. El malware envía al servidor una fotografía del usuario hecha con la cámara frontal. Según los expertos, la nueva versión de Charger no tiene una lista fija de aplicaciones bancarias para atacar.

A partir de la lista de las aplicaciones instaladas en el dispositivo infectado, el servidor de administración finge la actividad correspondiente y envía al dispositivo un código HTML malicioso, que se ejecuta mediante WebView al iniciarse la aplicación atacada. Al usuario se le muestra una pantalla falsa que pide los datos de la tarjeta de crédito o los datos de acceso a la cuenta de banca en línea.

Los expertos encontraron casos de ataques a los clientes de Commbank, NAB y Westpac Mobile Banking, así como a los usuarios de Facebook, WhatsApp, Instagram y Google Play. La gran flexibilidad del malware le permite adaptar el ataque a cualquier aplicación.

El bloqueo del smartphone sirve de maniobra evasiva para distraer a la víctima mientras los delincuentes vacían su cuenta bancaria. Los usuarios ven una pantalla falsa que les informa que el dispositivo se está actualizando, y que no se lo puede utilizar en ese momento.

Charger.B fue descubierto por los analistas de ESET, que notificaron Google y consiguieron que eliminara sin demora la aplicación de la tienda.

Fuentes: Threatpost