in

Google retira 6 aplicaciones antivirus falsas de Play Store que entregaban malware

050c2MgSWgpfLZslD9064R3 1.fit lim.size 1200x630.v1649336998

Si necesita una aplicación antivirus para su teléfono Android, asegúrese de que sea legítima. Los investigadores de seguridad descubrieron recientemente seis aplicaciones antivirus falsas en Google Play Store que instalaban malware.

Las seis aplicaciones incluían «Antivirus, Super Cleaner», «Center Security – Antivirus» y «Powerful Cleaner Antivirus», según la firma de seguridad Check Point. Pero en realidad, los programas generaron una variedad de malware denominada «Sharkbot», que puede robar información sobre sus credenciales de inicio de sesión y cuentas bancarias.

En total, las aplicaciones se descargaron más de 15 000 veces, principalmente de usuarios de Italia y el Reino Unido. Google eliminó las seis aplicaciones después de que Check Point informara el problema a la empresa.

Las seis aplicaciones

(Imagen: Punto de control)

Las seis aplicaciones funcionan como «cuentagotas», lo que significa que instalarán el malware Sharkbot en el teléfono en un momento posterior. Además, la instalación de malware solo se activará en geografías seleccionadas como China, India, Rumania, Rusia, Ucrania o Bielorrusia. Esto puede ayudar a explicar por qué Google Play Store no detectó la naturaleza maliciosa de las aplicaciones.

Si el malware se instala, Sharkbot intentará robar contraseñas creando ventanas de inicio de sesión falsas en el teléfono. “Cuando el usuario ingresa sus credenciales en estas ventanas, los datos comprometidos se envían a un servidor malicioso”, escribió Check Point en un informe de investigación. “Sharkbot no se dirige a todas las víctimas potenciales que encuentra, sino solo a las seleccionadas, utilizando la función de geoperimetraje para identificar e ignorar a los usuarios de China, India, Rumania, Rusia, Ucrania o Bielorrusia”.

El malware también incluye otras funciones nefastas, como la capacidad de robar contactos telefónicos, mostrar notificaciones automáticas y desinstalar en secreto otras aplicaciones en el teléfono. Además, Sharkbot detendrá todos los procesos si detecta que se está ejecutando en un entorno de software «sandbox» aislado, en lugar de un teléfono real. Esto puede ayudarlo a evadir la detección de los investigadores de seguridad.

Una de las aplicaciones maliciosas

(Imagen: Grupo NCC)

Check Point dice que cuatro de las aplicaciones descubiertas provienen de cuentas de desarrolladores con los nombres «Zbynek Adamcik», «Adelmio Pagnotto» y «Bingo Like Inc».

“Cuando revisamos el historial de estas cuentas, vimos que dos de ellas estaban activas en el otoño de 2021”, dice. “Algunas de las aplicaciones vinculadas a estas cuentas se eliminaron de Google Play, pero aún existen en mercados no oficiales”.

Recomendado por Nuestros Editores

Una firma de seguridad separada, NCC Group, también descubrió la presencia de Sharkbot en Google Play Store. La compañía notó que la muestra de malware que encontró se enfocaba en iniciar transferencias de dinero a través de aplicaciones bancarias legítimas en el teléfono de la víctima.

“Para la mayoría de estas características, SharkBot necesita que la víctima habilite el Permisos y servicios de accesibilidad”, dijo el Grupo NCC. “Estos permisos permiten que el malware bancario de Android intercepte todos los eventos de accesibilidad producidos por la interacción del usuario con la interfaz de usuario, incluidas las pulsaciones de botones, los toques y los cambios de TextField”.

Google no respondió de inmediato a una solicitud de comentarios.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }