Los analistas de Kaspersky Digital Footprint Intelligence han encontrado pruebas de la compra y venta de bienes y servicios relacionados con el malware en hasta nueve foros diferentes de la darknet. En un informe, destacan que estos productos se ofrecen posteriormente en Google Play.
Aunque las tiendas de aplicaciones oficiales están fuertemente vigiladas, a veces no detectan ciertas aplicaciones maliciosas que se suben a la plataforma. Como resultado, Google Play elimina anualmente un gran número de ellas después de infectar a las víctimas.
Los ciberdelincuentes acuden a la darknet, la red oscura, para comprar y vender aplicaciones maliciosas destinadas a Google Play. También ofrecen servicios publicitarios para promocionar sus creaciones. Para publicar una aplicación maliciosa en Google Play, los ciberdelincuentes necesitan una cuenta de desarrollador y un código de descarga malicioso.
Estas cuentas se pueden adquirir a un precio razonable, que oscila entre los 60 y los 200 dólares. Por lo general, los ciberdelincuentes ocultan el malware detrás de aplicaciones financieras, escáneres de códigos QR, aplicaciones de citas y rastreadores de criptomonedas.
De esta manera, el usuario cree que está descargando aplicaciones legítimas, pero en realidad están infectadas. Por otro lado, los delincuentes también tienen en cuenta el número de descargas de la versión legítima de las aplicaciones para conocer el número de posibles víctimas. Los ciberdelincuentes pueden pagar un coste adicional para ocultar el código malicioso de la aplicación y hacer que sea más difícil de detectar por las soluciones de ciberseguridad. Para aumentar las descargas, en la darknet se ofrecen servicios para dirigir el tráfico a través de anuncios de Google, a fin de atraer a más usuarios y infectarlos.
El coste varía según el país, con una media de 0,50 dólares por clic y ofertas que oscilan entre los 0,10 y varios dólares. En un ejemplo analizado, los anuncios elaborados para usuarios norteamericanos y australianos costaban hasta 0,80 dólares. Algunos vendedores limitan la cantidad de productos y los subastan.
En una de las subastas estudiadas, el precio inicial fue de 1.500 dólares y el precio de venta instantánea alcanzó los 7.000 dólares, con incrementos regulares de 700 dólares durante la puja.
En la darknet, los vendedores ofrecen servicios para subir la app maliciosa directamente a la Google Play Store, lo que permite al comprador evitar interactuar con la plataforma oficial, aunque seguirá recibiendo los datos de las víctimas del ciberataque.
A pesar de que puede parecer fácil para el vendedor engañar al comprador, en la darknet se utilizan garantías y pagos posteriores para mantener la reputación del vendedor y reducir los riesgos.
Los ciberdelincuentes también utilizan intermediarios conocidos como ‘escrow’ para asegurarse de que se cumplan las condiciones del acuerdo y se protejan sus intereses. Estos depósitos de garantía pueden ser respaldados por una plataforma en la sombra o por un tercero.
Alisa Kulishenko, experta en seguridad de Kaspersky, señala que las apps móviles maliciosas continúan siendo una importante ciberamenaza para los usuarios, habiéndose detectado más de 1,6 millones de ataques móviles durante 2022.
A su vez, destaca que la calidad de las soluciones de protección para los usuarios también ha mejorado. En la darknet, los delincuentes se quejan de que les resulta más difícil subir aplicaciones maliciosas a las tiendas oficiales, lo que sugiere que están trabajando en sistemas más sofisticados. Por lo tanto, Kulishenko recomienda a los usuarios mantenerse siempre alerta y verificar cuidadosamente qué aplicación están descargando.
Medidas para evitar las aplicaciones maliciosas
- Revisar cuidadosamente los permisos concedidos a las aplicaciones. Es esencial considerar si se deben otorgar permisos de alto riesgo, como el acceso a los servicios de accesibilidad. Por ejemplo, la única autorización que necesita una app para usar la linterna es el permiso de la linterna, no el acceso a la cámara o la ubicación, entre otros.
- Utilizar una solución de seguridad confiable para detectar apps maliciosas y adware antes de que infecten el dispositivo.
- Los usuarios de iPhone pueden usar los controles de privacidad disponibles para bloquear el acceso a fotos, contactos y GPS si consideran que son permisos innecesarios.
- Actualizar el sistema operativo y las aplicaciones tan pronto como sea posible, ya que las versiones más recientes del software suelen resolver la mayoría de los problemas.
Encuentran en la Google Play nuevas aplicaciones maliciosas con más de un millón de descargas
