Guerrilla, el troyano que está engañando a Google Play
Las tiendas de aplicaciones móviles, como Google Play, cuentan con mecanismos de seguridad para evitar que se suban a ellas apps maliciosas. Evidentemente, esta protección no es infalible, y son muchas las aplicaciones que son capaces de burlar estos mecanismos, por lo que de vez en cuando se alerta de que una de estas apps se ha colado en el market de Android. Sin embargo, la última va más allá. El equipo de Kaspersky Lab ha descubierto un troyano en Android denominado Guerrilla, que consigue traspasar estos mecanismos de protección, a través de una app fraudulenta que es capaz de comportarse como un humano para burlar la protección.
No es la primera ni la última aplicación maliciosa que trata de manipular a Google Play, pero esta lo hace de una forma muy sofisticada. Google puede distinguir las solicitudes que han sido realizadas por bots, pero este malware es capaz de realizar acciones haciéndose pasar por personas reales, engañando a los mecanismos de protección de la tienda de aplicaciones y haciendo más difícil de detectar el malware.
El troyano es capaz de introducirse en los dispositivos a través del rootkit Leech, un malware que otorga a los ciberatacantes privilegios de usuario, con lo que pueden manipular a su antojo los datos del equipo infectado: acceder al nombre del usuario, contraseñas, y tokens de autenticación (obligatorios para comunicarse con las apps de los servicios oficiales de Google, inaccesibles para las aplicaciones normales en dispositivos que no están rooteados). Una vez instalado, el troyano usa los datos para comunicarse con la tienda de Google como si fuera una app real.
Los cibercriminales tienen cuidado a la hora de usar los datos de autenticación reales de los usuarios, de forma que las solicitudes de la aplicación falsa del cliente a Google Play parezcan iguales a las solicitudes que emitiría una persona real. Además, los desarrolladores de este malware imitan la forma en la que un usuario real interactuaría con el market. Como ejemplo, antes de solicitar a la página donde se aloja una aplicación en concreto, busca apps de su interés o relacionadas, al igual que lo haría una persona real.
Para evitar ser una víctima de este malware, el equipo de la firma de seguridad aconseja no rootear el dispositivo Android, y restringir la instalación de apps de fuentes diferentes a las tiendas oficiales.
Fuente: Globb Security