400 Troyanos en Google Play
Siempre se recomienda a los usuarios de Android descargar aplicaciones desde un sitio oficial. Es mucho más seguro buscar apps desde Google Play ya que todas las apps pasan por un riguroso análisis de seguridad para así ser aprobado y listado en dicho sitio.
Sin embargo, apps maliciosas se han infiltrado en Google Play en algunas ocasiones. Recientemente, más de 400 apps en google Play (y casi 3,000 en otros sitios de apps) resultaron estar plagadas con el Troyano "DressCode".
Este Troyano fue detectado por primera vez por investigadores en agosto del 2016, en una app de vestimentas, una app de juego donde el target eran niñas.
Una de estas apps fue descargada de 100, 000 a 500,000 veces por medio de Google Play. Los investigadores que detectaron este software dieron parte a Google y esta compañía borró las aplicaciones maliciosas de su sitio.
El mayor problema con DressCode es que es muy difícil de detectar. El código es muy pequeño comparado al código que lo carga (la app en si) Esa es la razón por la cual probablemente es que hay tanta apps infectadas en Google Play aun cuando fueron vetadas y analizadas por Google.
¿Qué hace el malware DressCode?
En general, el único propósito de este malware, es establecer conexión a un servidor de control. Usualmente, una vez que la conexión se ha realizado, el servidor envía un comando que pone al Trojano a "dormir" y esto hace que sea virtualmente indetectable en ese estado y una vez que el ciberpirata decide usar el dispositivo infectado, envía un comando para despertarlo y hacer que el dispositivo (Smartphone o Tablet) se convierta en un servidor proxy y lo usa para redirigir tráfico de internet.
¿Cómo se benefician los ciberpiratas?
Primero, los dispositivos infectados pueden ser usados como parte de una red de bots para canalizar ciertas direcciones IP. Este método hace que los criminales amplifiquen el tráfico, generen clicks en estandartes de algún sitio y URLs de paga, así como organizar ataques DDoS para tirar sitios específicos.
Y en segunda, un dispositivo infectado (digamos un Smartphone corporativo) puede acceder a algunos recursos de su red local y así información confidencial puede ser robada por los atacantes.
Fuente: John Snow, Kaspersky Daily
