Una nueva familia de malware clicker en aplicaciones como la BRUJULA

Según una investigación realizada por Ohad Mana, Israel Wernik, Bogdan Melnykov y Aviran Hazum, todos ellos investigadores de Check Point han descubierto recientemente una nueva familia de malware clicker, junto con nuevas muestras de la familia de malware Joker, ambas en APPs en Google Play, y cuyo malware GOOGLE paso por alto. Dichas familias son Clickers 'Haken' y 'BearClod'.

Los Clickers, malware que imita al usuario y realiza 'clics' en los anuncios, son una amenaza creciente en la industria móvil. Recientemente, UpstreamSystems publicó un informe sobre un clicker denominado 'ai.type' o 'BearClod'.

Se ha observado un aumento en la actividad de la operación detrás de este clicker, con 47 nuevas aplicaciones que estaban disponibles en Google Play y que los usuarios descargaron más de 78 millones de veces.??‍♂

Al monitorear la mayor actividad de 'BearClod', pudimos encontrar otra familia de clicker: 'Haken'. Esta campaña acaba de comenzar su camino en Google Play, con 8 aplicaciones maliciosas y más de 50,000 descargas, el clicker tiene como objetivo obtener tantos dispositivos como sea posible para generar ganancias ilegítimas.

Las familias de Clickers 'BearCloud' y 'Haken' utilizan diferentes enfoques para la implementación de la funcionalidad de clics. Mientras que 'BearClod' utiliza una creación de vista web y carga de código JavaScript malicioso que realiza el clic, el clicker Haken utiliza código nativo e inyección en las bibliotecas de Facebook y AdMob mientras se comunica con un servidor remoto para obtener la configuración.

Para la familia Spyware 'Joker', descubierta originalmente en septiembre de 2019, es un programa espía y un Premium Dialer (suscribe al usuario a servicios Premium) para Android que se encontró en Google Play.

En los últimos meses, Joker sigue apareciendo en la tienda Google Play, algunas muestras a la vez. Tatyana Shishkova (@sh1shk0va), recientemente publicó en Twitter algunos ejemplos de la familia de malware Joker llegando a Google Play, en la que comentaba que habían descubierto cuatro muestras adicionales de Joker en Google Play, descargadas más de 130,000 veces

Después de informar de esas aplicaciones, Google las ha eliminado de Google Play.

No vamos a entrar en tecnicismos de como hacen su función , para dicho menester os dejamos el informe, pero lo que si os recordamos que cuando una aplicación pide permisos que son absurdos para la funcionalidad que tiene dicha APP, lo mejor es desconfiar.

Si estamos muy interesados en dicha APP es mejor escribir al desarrollador pidiéndole que desactive la petición de dichos servicios incongruentes con la función de sus APP el cual no tendrá ningún inconveniente en hacerlo si realmente dicha APP es solo y únicamente para lo que dice.

Fuente: https://research.checkpoint.com/2020/android-app-fraud-haken-clicker-and-joker-premium-dialer/