MADRID, 31 (Portaltic/EP)
Un 'dropper' es un tipo de troyano que se descarga en el equipo de la víctima para, una vez en él, instalar el 'malware' con el que lo infectará para realizar la actividad maliciosa.
La compañía de ciberseguridad ThreatFabric ha repasado en su blog los últimos descubrimientos en 'droppers' o 'cuentagotas' y las técnicas que los cibercriminales han desplegado con el objetivo de sortear los mecanismos de seguridad de las tiendas de aplicaciones oficiales.
Uno de esos programas maliciosos es Sharkbot. A principios de mes se descubrió una nueva campaña maliciosa dirigida contra usuarios italianos, que distribuía el 'dropper' desde Google Play Store en una aplicación de cálculo de impuestos, que contaba con más de 10.000 instalaciones.
La nueva versión de Sharkbot no incluía permisos sospechosos que puedan alertar a los sistemas de Google, reduciéndolos a tres bastante comunes: acceso a Internet, a la lectura del almacenamiento externo y a su escritura.
La actividad maliciosa se desencadenaba al comprobar que la SIM del 'smartphone' donde se había instalado se correspondía con Italia. Entonces, recibía una 'url' con la carga útil que lo infecta y abría una página falsa que simulaba ser la de la 'app' en Google Play para instar a la víctima a que actualizara.
Sharkbot también se encontró en una aplicación de gestión, publicada en Play Store, aunque en esta ocasión sin descargar registradas. En este caso, la app sí contaba con el permiso de instalación de paquetes.
ThreatFabric también menciona la familia de 'malware' Vultur, un troyano bancario descubierto por primera vez en verano del año pasado, con capacidad para evadir los controles de Google Play Store.
La compañía de ciberseguridad ha identificado recientemente tres 'droppers' en la tienda de Google que instalaban Vultur, con entre mil y 100.000 instalaciones, simulando ser aplicaciones de inicio de sesión seguro o de recuperación de archivos.
Al tratarse de una nueva versión del 'dropper', los investigadores han identificado técnicas de ofuscación distintas de las encontradas en las primeras iteraciones. "La lógica de instalación no está contenida en el archivo DEX principal, sino en un archivo dex adicional que se carga dinámicamente" y "encripta cadenas usando AES con una clave variable". A esto se añade un registro de accesibilidad extenso.