400 troyanos en Google Play

Se ha encontrado el troyano DressCode en más de 400 aplicaciones de Google Play.

A menudo aconsejamos a los usuarios de Android que solo descarguen aplicaciones desde tiendas oficiales. Es mucho más seguro buscar aplicaciones en Google Play porque todas las aplicaciones de la tienda pasan por controles rigurosos y por aprobaciones antes de publicarse.

Aun así, a veces se han infiltrado en Google Play aplicaciones dudosas. En un reciente incidente masivo, más de 400 aplicaciones de Google Play (y cerca de 3,000 en otras tiendas de aplicaciones) han resultado estar infectadas con el troyano DressCode.

https://media.kasperskydaily.com/wp-content/uploads/sites/87/2016/10/05200042/dresscode-trojan-featured.jpg

El malware recibió su divertido nombre por su primera aparición: el troyano lo detectaron por primera vez unos investigadores en agosto de 2016 dentro de varias aplicaciones de vestimenta, un tipo de juego catalogado para chicas.

Uno de esos juegos se descargó entre 100,000 y 500,000 veces desde Google Play. También se encontraron otras aplicaciones infectadas con dicho malware. Para entonces, se encontraron más de 400 aplicaciones infectadas, unas 40 de ellas en Google Play. Los investigadores escribieron a Google y la compañía eliminó las aplicaciones de la tienda.

Pero otro grupo de investigadores se había interesado en el troyano y decidieron investigar más y buscar en otras tiendas de aplicaciones. Hace tan solo un par de días, el equipo encontró 3,000 aplicaciones infectadas por DressCode a la vez; más de 400 estaban en Google Play.

Muchas de las aplicaciones afectadas son juegos o aplicaciones relacionadas con juegos (por ejemplo, aplicaciones con trucos para los jugadores y modificaciones del juego). Entre las aplicaciones maliciosas había varias de mejora de rendimiento, de optimización y otras utilidades pseudoútiles.

El mayor problema con DressCode es que es difícil de detectar. El código del troyano es muy pequeño comparado con el código de su programa portador. Quizá sea por eso que muchas de las aplicaciones infectadas hayan pasado los procesos de aprobación de Google Play.

¿Qué hace DressCode?

En general, el único propósito de DressCode es establecer conexión con un servidor de mando y control. Una vez establecida la conexión, el servidor envía un comando al troyano para que entre en reposo y hacer que la detección instantánea sea casi imposible. Cuando el delincuente decide usar el dispositivo infectado, puede despertar al troyano y convertir el smartphone o el tablet en un servidor proxy para redirigir tráfico de Internet.

¿Cómo se benefician de ella los ciberdelincuentes?

En primer lugar, los dispositivos infectados pueden usarse como parte de una botnet para conducir las peticiones de ciertas direcciones IP. Este método permite a los delincuentes elevar el tráfico, generar clics en banners y organizar ataques DDoS para hacer caer páginas web.

En segundo lugar, si un dispositivo infectado (digamos un smartphone corporativo) puede acceder a ciertos recursos de la red local, los atacantes también obtienen acceso a los mismos y pueden usar el dispositivo para robar información sensible.

¿Cómo puedo evitar ser parte de una botnet?

Esto es muy raro que suceda cuando nuestro consejo (descargar aplicaciones solo desde tiendas oficiales) no es suficiente. Cierto, Google Play goza de un nivel mucho menor de aplicaciones maliciosas en comparación con otras tiendas Android, pero 400 aplicaciones infectadas son muchas. Además, incluyen grandes éxitos como Minecraft “GTA 5” (sí, existe de verdad), descargado más de 500,000 veces.

Así que reduciremos la lista habitual de recomendaciones a solo dos:

1. Ten mucho cuidado cuando descargues aplicaciones. Antes de instalar una aplicación desconocida, comprueba las opiniones de los usuarios, mira su lista de permisos y piénsalo. Por desgracia, no se puede confiar en todas las opiniones de Google Play, pero al menos pueden darte una idea de lo confiable que puede ser una aplicación.

2. Instala una buena solución de seguridad en tu dispositivo móvil. Kaspersky Antivirus & Security para Android detecta DressCode como HEUR:Backdoor.AndroidOS.Sobot.a. Si ejecutas una versión de pago de nuestra solución, analizará automáticamente todas las aplicaciones nuevas y bloqueará cualquier utilidad relacionada con DressCode. Si instalaras una versión gratuita, no te olvides de analizar tu dispositivo regularmente.

Consejos