Logo Revista de Seguridad

Aplicaciones maliciosas de Google Play se venden en la Dark Web

En 2022, las soluciones de seguridad de Kaspersky detectaron 1.661.743 instaladores de malware o software no deseado, dirigidos a usuarios móviles. 

Aunque la forma más común de distribuir dichos instaladores es a través de sitios web de terceros y tiendas de aplicaciones dudosas, sus autores de vez en cuando logran subirlos a tiendas oficiales, como Google Play. Por lo general, se supervisan enérgicamente y las aplicaciones se moderan previamente antes de publicarse; sin embargo, los autores de software malicioso y no deseado emplean una variedad de trucos para eludir los controles de la plataforma. Por ejemplo, pueden cargar una aplicación benigna y luego actualizarla con un código malicioso o dudoso que infecta tanto a los nuevos usuarios como a los que ya instalaron la aplicación. Las aplicaciones maliciosas se eliminan de Google Play tan pronto como se encuentran, pero a veces después de haberlas descargado varias veces.

Dado que se descubrieron muchos ejemplos de aplicaciones maliciosas y no deseadas en Google Play después de las quejas de los usuarios, decidimos analizar cómo es la oferta y la demanda de dicho malware en la dark web. Es especialmente importante analizar cómo se origina esta amenaza, porque muchos ciberdelincuentes trabajan en equipo, comprando y vendiendo cuentas de Google Play, malware, servicios de publicidad y más. Es todo un mundo clandestino con sus propias reglas, precios de mercado e instituciones de reputación, un resumen del cual presentamos en este informe.

Metodología

Usando Kaspersky Digital Footprint Intelligence  , pudimos recopilar ejemplos de ofertas de amenazas de Google Play para la venta. Kaspersky Digital Footprint Intelligence permite el monitoreo discreto de sitios de pastebin y foros en línea clandestinos restringidos para descubrir cuentas comprometidas y fugas de información. Las ofertas presentadas en este informe se publicaron entre 2019 y 2023 y se recopilaron de los nueve foros más populares para la compra y venta de bienes y servicios relacionados con malware y software no deseado.

Resultados clave

  • El precio de un cargador capaz de enviar una aplicación maliciosa o no deseada a Google Play oscila entre $2000 y $20 000.
  • Para mantener sus actividades de bajo perfil, un gran porcentaje de atacantes negocia estrictamente a través de mensajes personales en foros y mensajeros, por ejemplo, en Telegram.
  • Las categorías de aplicaciones más populares para ocultar malware y software no deseado incluyen rastreadores de criptomonedas, aplicaciones financieras, escáneres de códigos QR e incluso aplicaciones de citas.
  • Los ciberdelincuentes aceptan tres tipos principales de pago: un porcentaje de la ganancia final, suscripción o alquiler y pago único.
  • Los ciberdelincuentes ofrecen lanzar anuncios de Google para atraer a más personas a descargar aplicaciones maliciosas y no deseadas. El costo de los anuncios depende del país de destino. Los anuncios para usuarios de EE. UU. y Australia cuestan más, hasta alrededor de $ 1 (EE. UU.).

Tipos de servicios maliciosos ofrecidos en la dark web

Al igual que en los mercados en línea legítimos, también hay varias ofertas en la web oscura para clientes con diferentes necesidades y presupuestos. En la captura de pantalla a continuación, puede ver una lista de ofertas, que brinda una descripción general de la cantidad de bienes y servicios diferentes que pueden ser necesarios para dirigirse a los usuarios de Google Play. El autor de la lista dice que los precios son demasiado altos; sin embargo, no contradicen los precios que hemos visto en otras ofertas de la dark web. Los principales productos que compran los atacantes son las cuentas de Google Play de los desarrolladores que los ciberdelincuentes pueden piratear o registrar utilizando identidades robadas, así como el código fuente de varias herramientas que ayudan al comprador a subir sus creaciones a Google Play. Además, servicios como VPS (por $300) o Virtual Private Server, que los atacantes usan para controlar los teléfonos infectados o redirigir el tráfico de los usuarios, así como inyecciones basadas en la web se ofrecen. Una inyección web es una funcionalidad maliciosa que monitorea la actividad de la víctima, y ​​si abre una página web que es de interés para los ciberdelincuentes, un inyector la reemplaza por una maliciosa. Esta característica se ofrece por $ 25 a $ 80 cada uno.

NOTICIAS

Últimas actualizaciones en el ámbito de la Seguridad

Buscar en el portal