{"id":25313,"date":"2022-09-30T01:43:17","date_gmt":"2022-09-30T07:43:17","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25313"},"modified":"2022-09-30T01:43:17","modified_gmt":"2022-09-30T07:43:17","slug":"harly-trojan-subscriber","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/harly-trojan-subscriber\/25313\/","title":{"rendered":"Harly: otro troyano suscriptor en Google Play"},"content":{"rendered":"

Es com\u00fan encontrar en la tienda oficial de Google Play todo tipo de malware <\/em>oculto aparentando ser aplicaciones inofensivas. desgraciadamente, aunque la plataforma cuente con una buena vigilancia, los moderadores no siempre pueden detectar dichas aplicaciones antes de ser publicadas. Una de las variaciones m\u00e1s populares de este tipo de malware<\/em> son los troyanos suscriptores que se registran en servicios de pago sin que el usuario lo sepa. Antes ya escribimos<\/a> sobre una de las familias m\u00e1s comunes de esta clase de troyanos, y, ahora, te hablaremos sobre otra. Se trata de un grupo parecido a Jocker, \u00a0el troyano suscriptor, y es por esto que lo han nombrado Harly (con unos leves cambios en la escritura) como la compa\u00f1era<\/a> de este famoso villano de c\u00f3mic. Es probable que ambos troyanos tengan similitudes en sus or\u00edgenes.<\/p>\n

La verdad sobre los troyanos Harly<\/h2>\n

Desde 2020, m\u00e1s de 190 aplicaciones infectadas con Harly han sido encontradas en Google Play. Se estima que el n\u00famero de descargas de dichas aplicaciones es de 4,8 millones, pero la cifra real puede ser a\u00fan mayor.<\/p>\n

\"\"

Ejemplos de aplicaciones de Google Play que contienen el malware Harly<\/p><\/div>\n

As\u00ed como sucede con los troyanos Jocker, los troyanos de la familia Harly imitan aplicaciones leg\u00edtimas. \u00bfC\u00f3mo funcionan? Los estafadores descargan aplicaciones corrientes que se encuentran en Google Play, insertan c\u00f3digo malicioso en ellas para despu\u00e9s volverlas a subir a Google Play con un nombre distinto. Estas apps, en ocasiones, adem\u00e1s de contener c\u00f3digo malicioso, cuentan tambi\u00e9n con las caracter\u00edsticas enumeradas en la descripci\u00f3n, por lo que es posible que los usuarios no sospechen ni piensen que son una amenaza.<\/p>\n

\"\"

M\u00e1s ejemplos de aplicaciones de Google Play que contienen el malware Harly<\/p><\/div>\n

La mayor\u00eda de los miembros de la familia Jocker son descargadores de varias etapas<\/a>: reciben la carga \u00fatil de los servidores C&C de los estafadores. Por el contrario, los troyanos de la familia Harly contienen toda la carga \u00fatil dentro de la aplicaci\u00f3n y utilizan diferentes m\u00e9todos para descifrarla y ejecutarla.<\/p>\n

\"\"

Rese\u00f1as de usuarios que se quejan por cargos bancarios<\/p><\/div>\n

C\u00f3mo funciona el troyano suscriptor Harly<\/h2>\n

Tomemos como ejemplo una aplicaci\u00f3n llamada com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), una aplicaci\u00f3n de linterna que en Google Play cuentan con m\u00e1s de 10.000 descargas.<\/p>\n

\"\"

Una aplicaci\u00f3n infectada con el troyano Harly<\/p><\/div>\n

Cuando se inicia la aplicaci\u00f3n, se carga una biblioteca sospechosa:<\/p>\n

\"\"

Una biblioteca sospechosa<\/p><\/div>\n

La biblioteca descifra el archivo con los recursos de la aplicaci\u00f3n.<\/p>\n

\"\"

Descifrado de un archivo con los recursos de la aplicaci\u00f3n<\/p><\/div>\n

Curiosamente, los creadores de malware <\/em>aprendieron a usar los lenguajes de programaci\u00f3n Go<\/a> y Rust<\/a>, pero de momento sus habilidades se limitan a descifrar y cargar el Kit de Desarrollo de Software (SDK)<\/a> malicioso.<\/p>\n

Como sucede con otros troyanos suscriptores, Harly recopila informaci\u00f3n sobre el dispositivo del usuario y sobre la red m\u00f3vil en particular. El tel\u00e9fono del usuario cambia a una red m\u00f3vil y luego el troyano le pide al servidor C&C que configure la lista de suscripciones a las que debe registrarse.<\/p>\n

Este troyano funciona solo con operadores tailandeses, por lo que primero verifica los MNC<\/a> (c\u00f3digos de red m\u00f3vil), identificadores \u00fanicos de los operadores de red, para asegurarse de que sean tailandeses:<\/p>\n

\"\"

Comprobaci\u00f3n de los MNC<\/p><\/div>\n

No obstante, para la comprobaci\u00f3n del MNC, utiliza el c\u00f3digo de China Telecom: 46011. Esta y otras pistas sugieren que los desarrolladores del malware <\/em>est\u00e1n ubicados en China.<\/p>\n

\"\"

Comprobaci\u00f3n de los MNC<\/p><\/div>\n

El troyano abre la direcci\u00f3n de la suscripci\u00f3n en una ventana invisible y, al inyectar secuencias de comandos JS, introduce el n\u00famero telef\u00f3nico del usuario, presiona los botones necesarios e introduce el c\u00f3digo de confirmaci\u00f3n del mensaje de texto. Al final, el usuario adquiere una suscripci\u00f3n de pago sin siquiera percatarse.<\/p>\n

Otra caracter\u00edstica importante de este troyano es que puede suscribirse no solo cuando el proceso est\u00e1 protegido por un c\u00f3digo que se recibe mediante un mensaje de texto, sino tambi\u00e9n cuando est\u00e1 protegido mediante una llamada. En este \u00faltimo caso, el troyano llama a un n\u00famero concreto y confirma la suscripci\u00f3n.<\/p>\n

Nuestros productos detectan las aplicaciones maliciosas que hemos descrito en este art\u00edculo como son: Trojan.AndroidOS.Harly y Trojan.AndroidOS.Piom.<\/p>\n

C\u00f3mo protegerse frente a los troyanos suscriptores<\/h2>\n

Las tiendas de aplicaciones oficiales luchan continuamente contra la propagaci\u00f3n de malware<\/em> pero, no ya vimos, no siempre lo logran exitosamente. Antes de instalar una aplicaci\u00f3n, te recomendamos que leas las rese\u00f1as de los usuarios y verifiques su calificaci\u00f3n en Google Play. No obstante, ten en cuenta que las rese\u00f1as y calificaciones pueden ser falsas<\/a>. Para tenerlo todo cubierto y evitar ser v\u00edctima de este tipo de malware<\/em>, te recomendamos instalar una soluci\u00f3n de seguridad de confianza<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Explicamos c\u00f3mo Harly, el troyano suscriptor, ataca a los usuarios de Android.<\/p>\n","protected":false},"author":2492,"featured_media":25314,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[2163,739,3785,1262],"class_list":{"0":"post-25313","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-google-play","10":"tag-suscripciones-de-pago","11":"tag-troyanos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/harly-trojan-subscriber\/25313\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/harly-trojan-subscriber\/24633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/harly-trojan-subscriber\/20100\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/harly-trojan-subscriber\/10143\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/harly-trojan-subscriber\/27085\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/harly-trojan-subscriber\/24990\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/harly-trojan-subscriber\/27704\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/harly-trojan-subscriber\/27229\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/harly-trojan-subscriber\/34011\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/harly-trojan-subscriber\/11049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/harly-trojan-subscriber\/45573\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/harly-trojan-subscriber\/19501\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/harly-trojan-subscriber\/20062\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/harly-trojan-subscriber\/29306\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/harly-trojan-subscriber\/32616\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/harly-trojan-subscriber\/28493\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/harly-trojan-subscriber\/25478\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/harly-trojan-subscriber\/31046\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/harly-trojan-subscriber\/30738\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25313","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2492"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25313"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25313\/revisions"}],"predecessor-version":[{"id":25324,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25313\/revisions\/25324"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25314"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25313"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25313"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25313"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}