Skip to main content

Este malware histórico de Android ha conseguido colarse en Google Play

Spyware virus malware Android

23/08/2019 - 16:16

Aún sorprende que los biólogos encuentren nuevas especies de animales o plantas en el planeta, pero hablando de informática, enfrentarse a un espécimen desconocido es algo más complicado.

Los analistas de ESET han encontrado en Google Play un nuevo tipo de spyware inédito basado en el malware de código abierto AhMyth, que había conseguido burlar los controles de seguridad de la tienda de aplicaciones en primera instancia, aunque finalmente saltaron las alarmas y la aplicación fue retirada, dos veces.

La aplicación maliciosa, llamada Radio Balouch, también conocida como RB Music, es en realidad una aplicación de transmisión de radio totalmente funcional para los entusiastas de la música, excepto por el hecho de que en realidad se trata de una tapadera para robar los datos personales de sus usuarios.

El código que se empleó para crear el malware de Radio Balouch está basado en AhMyth, una herramienta de acceso remoto de código abierto que liberó a fines de 2017.

Desde entonces, hemos sido testigos de varias aplicaciones maliciosas basadas en ella. Sin embargo, Radio Balouch es la primera app que ha conseguido burlar (dos veces) la seguridad de la tienda oficial de aplicaciones de Android.

La aplicación fue descubierta por los analistas de ESET, y la nueva “cepa” del malware se ha clasificado como Android / Spy.Agent.AOX.

Esta app ha estado disponible en tiendas de aplicaciones alternativas, donde los controles de seguridad son mucho más laxos que en tienda de aplicaciones de Google, o directamente inexistentes. Radio Balouchi ha sido promocionada en Instagram y YouTube, por lo que su expansión puede llegar a ser importante.

Una vez instalada en el dispositivo, la app solicita permisos de todo tipo. Uno de ellos hace referencia a los contactos. De forma que al otorgarlo, el usuario facilita a los atacantes todos los teléfonos y correos de sus contactos.

Por otro lado, la tapadera de la aplicación, que es totalmente funcional, ofrece la posibilidad de iniciar sesión. Se escriba lo que se escriba se iniciará la sesión, ya que el objetivo de esta función es obtener combinaciones de usuario y contraseña que puedan replicarse en otros servicios. De ahí la importancia de utilizar una contraseña distinta para cada servicio y no una sola contraseña para todo.