Cisco Talos descubrió una muestra de GPlayed que usaba un icono similar a Google Apps etiquetado como «Google Play Marketplace» para engañar a los usuarios para que instalen el troyano. Una vez que se inició, el malware intentó registrar el dispositivo infectado con su servidor de comando y control (C&C). A continuación, configura un controlador de SMS como un medio para reenviar todos los mensajes SMS en el dispositivo al servidor de C&C. GPlayed completó la inicialización solicitando privilegios de administrador.
La muestra GPlayed analizada por Cisco Talos vino con una arquitectura modular que permitió a los atacantes personalizar su campaña. Por ejemplo, el dispositivo Troyano bloquea las pantallas y exige el pago de la víctima a través de la información de su tarjeta de crédito. La muestra también tenía la capacidad de eliminar contactos, una lista de aplicaciones instaladas y los medios para recibir un nuevo código fuente de .NET.
Los peligros de descargar aplicaciones fuera de Google Play
Los atacantes diseñaron GPlayed para engañar a los usuarios para que descarguen lo que pensaron que era Google Apps, una técnica que resalta los peligros de descargar software desde ubicaciones distintas a los mercados oficiales de aplicaciones móviles.
A principios de este año, el mismo día en que Tim Sweeney, CEO de Epic Games, anunció que los usuarios de Android tendrían que descargar Fortnite desde la web en lugar de Google Play Store, WIRED y Lookout descubrieron siete sitios que publicitaban descargas falsas de Fortnite que alojaban malware. En 2016, Check Point descubrió más de 80 aplicaciones falsas disponibles en mercados de Android de terceros que distribuyeron malware Gooligan.
Cómo defenderse contra una infección de troyano Android
Los profesionales de la seguridad pueden proteger a sus organizaciones de los troyanos GPlayed y similares mediante la implementación de capacitación sobre concienciación de la seguridad para promover las mejores prácticas, como descargar aplicaciones de los mercados oficiales y evitar enlaces sospechosos. Los expertos también recomiendan el uso de una solución unificada de administración de puntos finales (UEM) que ofrezca administración de amenazas móviles para monitorear dispositivos en busca de actividades sospechosas.
Fuente: Securityintelligence.com