Google elimina de la Play Store un malware bancario potencialmente peligroso

Check Point Research descubrió en el último mes al menos seis aplicaciones distintas en Google Play que se hacían pasar por software antivirus legítimo, pero que se utilizaban para instalar SharkBot en los smartphones de los usuarios que las descargaban. En el tiempo relativamente corto que estuvieron disponibles, las seis aplicaciones se descargaron más de 15.000 veces desde tres cuentas de desarrolladores diferentes.
SIA Team
April 9, 2022

Check Point Research descubrió en el último mes al menos seis aplicaciones distintas en Google Play que se hacían pasar por software antivirus legítimo, pero que se utilizaban para instalar SharkBot en los smartphones de los usuarios que las descargaban. En el tiempo relativamente corto que estuvieron disponibles, las seis aplicaciones se descargaron más de 15.000 veces desde tres cuentas de desarrolladores diferentes.

El malware, denominado “de nueva generación” por su descubridor, se aprovecha de los dispositivos Android pirateados para robar dinero de las cuentas bancarias mientras la víctima está conectada, eludiendo las protecciones de autenticación multifactoriales en el proceso. SharkBot también puede robar credenciales e información de tarjetas de crédito, y cuenta con varias capacidades que dificultan o hacen más lenta su detección.

SharkBot utiliza el Algoritmo de Generación de Dominios (DGA) para cambiar continuamente sus dominios C2, lo que dificulta el bloqueo de la amenaza, algo que los hackers de Check Point rara vez han visto en el malware para Android. SharkBot también tiene una función de geofencing que impide que el virus se ejecute en dispositivos Android en China, Rusia, Ucrania, India, Bielorrusia y Rumanía.
“Un cliente malicioso y un actor hostil pueden actualizar el servidor C2 en conjunto, sin ninguna comunicación”, explica Alexander Chailytko, director de investigación e innovación en ciberseguridad de Check Point Software. Según Chailytko, Sharkbot puede producir 35 dominios por semana utilizando DGA, lo que complica la tarea de bloquear los servidores de los operadores de malware.

Dado que todas las acciones dañinas de SharkBot se desencadenan a través del servidor de mando y control, Chailytko afirma que la aplicación maliciosa puede permanecer en estado “OFF” en Google Play durante un período de prueba y luego convertirse en “ON” una vez que llega a los dispositivos de los usuarios.

Una semana más tarde, Google eliminó las aplicaciones fraudulentas de Google Play. Check Point detectó otras dos aplicaciones con el malware en Google Play menos de una semana después, y de nuevo una semana más tarde. El personal de seguridad de Google actuó rápidamente en ambas ocasiones para eliminar los peligros antes de que pudieran ser descargados por los consumidores.