Un año después de una campaña de piratería dirigida a los soldados de la fuerza de Defensa israelí, la familia de malware ViperRAT regresó a la tienda de Google Play, de acuerdo con nuevas investigaciones de la empresa de seguridad móvil Lookout.

ViperRAT hizo olas el año pasado después de que una ola de personal de las FDI cayera víctima de ataques de ingeniería social de hackers que se posaban como mujeres jóvenes, que engañaban a los soldados para que instalaran aplicaciones de terceros que copiaban archivos y espiaban las comunicaciones. El malware desapareció relativamente después de una intensa cobertura mediática, pero las nuevas muestras se ven aún más sofisticadas, tanto que se han colado en la tienda de Google Play.

No está claro quién está siendo dirigido o responsable de construir el ViperRAT 2,0. Las dos ViperRAT aplicaciones de chat malicioso (llamado VokaChat y Chattak) en la tienda de Google Play fueron descargados más de 1,000 veces antes de Lookout descubierto y Google les quitó.

“la funcionalidad de chat de las aplicaciones, que en anteriores muestras de ViperRAT no funcionó, ahora está funcionando”, dijo Andrew Blaich, jefe de la inteligencia de dispositivos de Lookout. “Esto significa que la aplicación realmente sirve a un propósito y puede ocultar en el ruido de otras redes sociales y aplicaciones de chat, de modo que no parece ser puramente un implante de vigilancia a primera vista. Esto ata al juego del gato-y-ratón de los agentes que intentan “afinar” su malware de una manera tal que evade la detección temprana de modo que la haga en la tienda del juego. ”

La aparición en Google Play se llama un “hito” por los buscadores.

“se cree que la ingeniería social todavía juega un papel importante en estos últimos ataques, sin embargo, al acogerlos en la tienda de Google Play, las muestras de ViperRAT son como para parecer mucho más creíble”, escribieron los investigadores. “Además, las víctimas ya no estaban obligadas a permitir instalaciones de terceros”.

Infectar un objetivo es mucho más fácil cuando no hay necesidad de habilitar instalaciones de terceros. Al aprovechar la credibilidad y la facilidad de la tienda de Google Play, todos los objetivos tienen que hacer habilitar el malware es hacer clic en “instalar”.

“independientemente del objetivo o del impulso de los atacantes, ViperRAT en Google Play demostró la creciente sofisticación de las amenazas móviles”, escribieron los investigadores. “Esto es alarmante para nosotros, porque como la continuidad de los atacantes encontrar nuevas formas de agregar legitimidad a sus aplicaciones maliciosas, sus ataques de phishing se harán más exitosos.”

Google no respondió a una solicitud de comentario.

ViperRAT, que surgió por primera vez en 2015, se pensó inicialmente que era una posible campaña del grupo político palestino Hamas en un esfuerzo por atacar a los soldados israelíes. Lookout Cast duda sobre esa hipótesis el año pasado debido a la sofisticación del malware, un hecho que se ha vuelto aún más pronunciado desde su descubrimiento inicial.

Android es, con mucho, el sistema operativo más popular del mundo, lo que hace que Google juegue la tienda oficial de aplicaciones más importante — y fuertemente focalizada — en existencia. Google eliminó 700,000 aplicaciones maliciosas de la tienda de Google Play en 2017, dijo la empresa el año pasado, un aumento del 70 por ciento sobre 2016. La mayoría de las aplicaciones maliciosas son detectadas por la máquina de aprendizaje y la inteligencia artificial, un umbral importante que se aprobó por primera vez a principios de 2017.

Google tuvo una gran acción en 2017 cuando eliminó más de 700.000 aplicaciones de la tienda de Google Play Store. De alguna manera, estas aplicaciones eran dañinas para el usuario, ya sea conteniendo malware o violando los términos impuestos por la compañía Mountain View.

Sin embargo, incluso con estas medidas, Google sigue teniendo algunos problemas en el escaneo de las aplicaciones. Esto se debe a que a medida que pasa el tiempo, más son las aplicaciones falsas de Criptomoedas en la tienda de Google Play.

Aplicaciones que dicen que son una cosa y son otra. El ejemplo de esto es la aplicación “MyEtherWallet” que afirmaba ser la aplicación oficial del servicio Criptomoedas, sin embargo, distaba mucho de serlo.

Cuando los usuarios descargaban la aplicación, se les pedía los datos de su cuenta “MyEtherWallet”, incluidas las claves de sus carteras.

Google Play Store sigue sin defenderse severamente contra las aplicaciones falsas de Criptomoedas

Bueno, quienquiera que esté en el mundo de Criptomoedas sabe que en ningún caso debe proporcionar esos datos. Quienquiera que sea. Sin embargo, para aquellos menos informados eventualmente sería fatal y su criptomoedas eventualmente sería enviado a otra cartera.

Los investigadores de la compañía RiskIQ analizaron la tienda de juegos en detalle. En la investigación se identificaron más de 600 aplicaciones idénticas a este servicio. Que, o aplicaciones que simplemente utilizan el poder de su equipo a la mía criptomoedas.

Pero no sólo culpamos a Google. Apple ha tenido este problema. Una aplicación con el mismo nombre “MyEtherWallet” ha sido incluso en las primeras descargas de la App Store con más de 3000 descargas en pocos días.

Tanto Google como Apple están atados frente a la situación. En Apple la situación es menos problemática. El tiempo de espera para publicar una aplicación en la App Store es más grande lo que lleva a la compañía de Cupertino a mirar atentamente por cada aplicación que se publique en su tienda.

En la tienda de Google Play el tema no es el mismo. La publicación de una nueva aplicación en Google Play puede tardar sólo horas y los investigadores están preocupados por la actitud pasiva de Google hacia la situación.

Veremos si en el próximo Google I/o en mayo este tema será discutido o no. Es importante que la compañía americana tome medidas severas para los desarrolladores que continúan abusando de la falta de conocimiento de los usuarios.