Se descubrió que una nueva versión de Necromalware, un tipo de malware que apareció por primera vez en 2019, se instaló en al menos 11 millones de dispositivos a través de aplicaciones distribuidas a través de Google Play Store.
El malware, descubierto por investigadores de Kaspersky Lab, se puede encontrar en dispositivos Android a través de kits de desarrollo de software publicitario malicioso utilizados en aplicaciones de Google Play, así como modificaciones de juegos y versiones modificadas de aplicaciones y juegos populares disponibles en tiendas de aplicaciones no oficiales. instalado en el dispositivo.
Una de las aplicaciones infectadas, Wuta Camera, se ha descargado más de 10 millones de veces desde Google Play. Otra aplicación, Max Browser, se ha descargado más de 1 millón de veces desde la tienda oficial de Google. Desde entonces, Google eliminó ambas versiones de la aplicación infectada.
En ambos casos, los investigadores de Kaspersky dicen que las aplicaciones fueron infectadas con un SDK publicitario llamado Coral SDK, que utilizaba técnicas de ofuscación para ocultar actividad maliciosa. En la carga útil de la segunda etapa, el malware utiliza esteganografía de imágenes a través de 'shellPlugin' para disfrazarse de una imagen benigna.
Una vez que un dispositivo Android está infectado, el malware muestra anuncios en una ventana invisible, hace clic en ellos para descargar archivos ejecutables, instala aplicaciones de terceros y abre cualquier enlace en una ventana invisible. El malware también puede obligar a los usuarios a suscribirse a servicios pagos sin su conocimiento o utilizar un dispositivo infectado como proxy para redirigir el tráfico de Internet.
Katie Teitler-Santullo, estratega de ciberseguridad de la empresa de gestión de postura de seguridad de aplicaciones OX Appsec Security Ltd., dijo a SiliconANGLE por correo electrónico: “Los usuarios no tienen control sobre los SDK utilizados en sus aplicaciones, pero los desarrolladores de aplicaciones pueden asegurarse de que los SDK no hayan sido manipulados”.
“Por ejemplo, los desarrolladores deben asegurarse de que el SDK esté firmado con un certificado válido y provenga de una fuente confiable”, dice Teitler-Santullo. “Al escanear el código fuente en busca de contenido malicioso y acceso no autorizado, los desarrolladores pueden identificar si su código ha sido modificado o puede ser explotado”.
Añadió además: “Siempre es una buena práctica que los equipos de AppSec ejecuten diferentes tipos de análisis, incluidos SAST, DAST, dependencias y vulnerabilidades, para encontrar problemas tanto antes de la implementación de la aplicación como durante el tiempo de ejecución”.
Imagen: SiliconANGLE/Ideograma
Sus votos de apoyo son importantes para nosotros y nos ayudan a mantener nuestro contenido gratuito.
Con un solo clic a continuación, puede respaldar nuestra misión de brindar contenido gratuito, rico y relevante.
Únete a la comunidad de YouTube
Únase a una comunidad de más de 15.000 expertos de #CubeAlumni, incluido el director ejecutivo de Amazon.com, Andy Jassy, el fundador y director ejecutivo de Dell Technologies, Michael Dell, el director ejecutivo de Intel, Pat Gelsinger, y muchas más celebridades y expertos, por favor.
“TheCUBE es un socio importante para la industria. Todos ustedes realmente participan en nuestros eventos. Realmente apreciamos que vengan. También sabemos que la gente aprecia el contenido que crean”, Andy Jassy.
gracias
https://siliconangle.com/2024/09/23/necro-malware-infects-11m-android-devices-via-google-play-apps/
