Un reporte de Zimperium zLabs señala que un troyano para dispositivos Android ha acumulado alrededor de 10 millones de víctimas en más de 70 países, gracias a su presencia en cerca de 200 apps maliciosas que lograron evadir los mecanismos de seguridad en Google Play Store.
En su reporte, los expertos señalan que los operadores de esta campaña maliciosa han tenido tanto éxito que incluso han accedido a un nivel de ingresos medianamente estable, obteniendo millones de dólares mes con mes.
El reporte señala que la campaña, identificada como GriftHorse, ha estado activa desde noviembre de 2020 y se basa en engañar a las víctimas para que entreguen su número de teléfono para posteriormente inscribirlos a servicios SMS Premium de forma arbitraria.
Por obvios motivos, esta campaña requiere que las víctimas descarguen apps de Android de apariencia legítima que ocultan la carga maliciosa. Esta carga maliciosa se oculta en toda clase de apps, desde juegos para dispositivos móviles, apps de citas, traductores y otras herramientas.
Después de la instalación, el troyano escrito en Apache Cordova comenzará a bombardea al usuario con mensajes con el fin de acceder a la información deseada, redirigiendo a la víctima a un sitio web según la localización del dispositivo afectado.
En este sitio web, se pedirá a los usuarios entregar sus números de teléfono para un supuesto proceso de verificación. Si los usuarios caen en la trampa, se concretará la suscripción al servicio SMS Premium.
Algunos de los cargos superan los $35 USD al mes, y si una víctima no nota esta transacción sospechosa, entonces, teóricamente, se le podría cobrar durante meses y meses hasta acumular cientos de dólares en pérdidas. Para evadir la detección, los operadores del malware utilizan URL modificables en lugar de direcciones codificadas.
Los expertos presentaron sus hallazgos a Google, que emprendió un escaneo para eliminar las aplicaciones de Android marcadas como maliciosas. No obstante, estas aplicaciones pueden ser descargadas de plataformas de terceros, por lo que el riesgo sigue activo.
Créditos: Alisa Esage G