13 de marzo de 2018

Los analistas de virus de la empresa Doctor Web detectaron en el catálogo Google Play Android unos troyanos que se difunden como si fueran aplicaciones populares. Estas falsicficaciones son capaces de descargar y visualizar cualquier página web por comando de los malintencionados, lo cual puede ser usado para realizar los ataques de phishing.

Los programas detectados tienen nombres de aplicaciones conocidas, así como los iconos parecidos a originales. Los expertos de Doctor Web detectaron las falsificaciones del software Monedero Qiwi, Sberbank en línea, Odnoklassniki, VKontakte y NTV. Más abajo se explica cómo los estafadores de Internet engañan a las víctimas potenciales. En la imagen a la izquierda puede consultarse una página del programa imitador que puede ser localizada fácilmente en el catálogo Google Play. A la derecha vemos una página del software original.

Para cada inicio, estas aplicaciones falsificadas se conectan al servidor que en respuesta envía la opción «none» o transfiere el enlace web establecido por los malintencionados. Al obtener la primera opción, los programas extraen varias imágenes de sus recursos y las visualizan a los usuarios. En eso consiste toda su funcionalidad “útil”. Si en respuesta los programas reciben un enlace a la página web, lo descargan y visualizan. La página se abre con WebView directamente en las aplicaciones donde no se ve el enlace a la dirección de Internet objetivo. Así mismo, el contenido de las páginas visualizadas puede ser de cualquier tipo. En particular, pueden ser formularios falsificados para entrar en la cuenta de la banca en línea o de las redes sociales. Como resultado, los dueños de smartphones y tabletas en Android corren el riesgo de ser víctimas de ataques de phishing. Como esta funcionalidad es de bastante peligro, el software indicado fue añadido a la base de virus Dr.Web como software nocivo y se detecta como Android.Click.415.

Además de los troyanos ya descritos, los analistas de virus Doctor Web detectaron más de 70 programas similares descargados en total por más de 270 000 usuarios. Entre estas aplicaciones hay juegos falsificados, conjuntos de recetas y guías de punto, y algunos de ellos en realidad tienen funciones declaradas. Pero, al igual que el troyano Android.Click.415, pueden recibir del servidor administrativo los enlaces a cualquier página web que luego cargarán y visualizarán a los usuarios. Estos programas también fueron añadidos a la base de virus Dr.Web y se detectan como Android.Click.416 y Android.Click.417. Además, durante el funcionamiento, varias modificaciones de aplicaciones nocivas visualizan la publicidad constantemente en la pantalla del dispositivo móvil:

Los troyanos fueron difundidos por 4 desarrolladores como mínimo: Tezov apps, Aydarapps, Chmstudio y SVNGames. Los expertos de Doctor Web informaron a la corporación Google sobre todas las aplicaciones nocivas encontradas, pero en el momento de publicación de esta noticia las mismas aún estaban disponibles para descargar.

La empresa Doctor Web recuerda que al instalar programas hasta desde las fuentes seguras, tales como Google Play, es necesario prestar atención al nombre del desarrollador. Los malintencionados pueden copiar el diseño de las aplicaciones, así como usar los nombres similares, para que las víctimas potenciales instalen las falsificaciones que se encuentran fácilmente al buscar en los catálogos de software. Los productos antivirus Dr.Web para Android detectan y eliminan todas las modificaciones conocidas de los troyanos Android.Click.415, Android.Click.416 y Android.Click.417 que por lo tanto no son peligrosos para nuestros usuarios.

• Más información sobre el troyano Android.Click.415
• Más información sobre el troyano Android.Click.416
• Más información sobre el troyano Android.Click.417