Al parecer más de 60 juegos para Android alojados en Google Play tenían troyano que les permitía descargar y ejecutar código malicioso oculto en el interior de las imágenes.
Las aplicaciones maliciosas fueron descubiertos por investigadores del proveedor de antivirus ruso Doctor Web y fueron reportados a Google la semana pasada. Los investigadores llamaronprobablemente a la nueva amenaza Android.Xiny.19.origin.
Probablemente el ataque fue inspirado por una técnica demostrada por los investigadores hace más de un año.
Aplicaciones de Android maliciosas eran algo común en Google Play hasta hace unos pocos años Google implementó controles más rigurosos. Esto incluyó un escáner automatizado llamado Bouncer que utiliza la emulación y la detección basada en el comportamiento.
Pasar por la detección de Bouncer no es imposible, pero es lo suficientemente duro para mantener los creadores de malware muy lejos. Hoy en día la mayoría de troyanos en Android se distribuyen a través de las tiendas de aplicaciones de terceros, apuntando a los usuarios que han permitido la instalación de aplicaciones de “fuentes desconocidas”.
Los autores de Android.Xiny.19.origin parecen haber sido un poco más decididos. Sus juegos troyanizado son funcionales, pero en el fondo recogen información de identificación de los dispositivos de destino.
Los atacantes también pueden instruir a los apps para mostrar anuncios, instalar de forma silenciosa o eliminar aplicaciones (si el acceso root está activado en el teléfono) y lanzar archivos APK (paquetes de aplicaciones de Android) que están ocultos en el interior de las imágenes.
Esta última funcionalidad, que utiliza la esteganografía, es la característica más interesante del malware y hace que sea más difícil de detectar el código malicioso.
“A diferencia de la criptografía que se utiliza para el cifrado de la información, que puede despertar sospechas, la esteganografía se aplica en ocultar la información de forma encubierta“, dijeron los investigadores de Dr. Web en un post de su blog. “Los fabricantes de virus presumiblemente decidieron complicar el procedimiento de detección al esperar que los analistas de seguridad no prestarán atención a las imágenes benignas“.
Después de una imagen especialmente diseñada se descarga desde el servidor de comando y control, el troyano extrae una APK de ella mediante el uso de un algoritmo especial. A continuación, carga el código malicioso en la memoria del dispositivo utilizando la función DexClassLoader de Android.
El ataque es muy similar a un concepto presentado en la conferencia de seguridad Black Hat Europe en octubre del 2014 por investigadores Axelle Apvrille y Ange Albertini. Los dos investigadores mostraron que podrían ocultar un APK dentro de un archivo de imagen mientras se mantiene la imagen válida cuando se abre.
Se aconseja a los usuarios no descargar ningún juego desde la tienda a sus dispositivos Android sin la protección anti-virus.