Un año después de una campaña de piratería dirigida a los soldados de la fuerza de Defensa israelí, la familia de malware ViperRAT regresó a la tienda de Google Play, de acuerdo con nuevas investigaciones de la empresa de seguridad móvil Lookout.

ViperRAT hizo olas el año pasado después de que una ola de personal de las FDI cayera víctima de ataques de ingeniería social de hackers que se posaban como mujeres jóvenes, que engañaban a los soldados para que instalaran aplicaciones de terceros que copiaban archivos y espiaban las comunicaciones. El malware desapareció relativamente después de una intensa cobertura mediática, pero las nuevas muestras se ven aún más sofisticadas, tanto que se han colado en la tienda de Google Play.

No está claro quién está siendo dirigido o responsable de construir el ViperRAT 2,0. Las dos ViperRAT aplicaciones de chat malicioso (llamado VokaChat y Chattak) en la tienda de Google Play fueron descargados más de 1,000 veces antes de Lookout descubierto y Google les quitó.

“la funcionalidad de chat de las aplicaciones, que en anteriores muestras de ViperRAT no funcionó, ahora está funcionando”, dijo Andrew Blaich, jefe de la inteligencia de dispositivos de Lookout. “Esto significa que la aplicación realmente sirve a un propósito y puede ocultar en el ruido de otras redes sociales y aplicaciones de chat, de modo que no parece ser puramente un implante de vigilancia a primera vista. Esto ata al juego del gato-y-ratón de los agentes que intentan “afinar” su malware de una manera tal que evade la detección temprana de modo que la haga en la tienda del juego. ”

La aparición en Google Play se llama un “hito” por los buscadores.

“se cree que la ingeniería social todavía juega un papel importante en estos últimos ataques, sin embargo, al acogerlos en la tienda de Google Play, las muestras de ViperRAT son como para parecer mucho más creíble”, escribieron los investigadores. “Además, las víctimas ya no estaban obligadas a permitir instalaciones de terceros”.

Infectar un objetivo es mucho más fácil cuando no hay necesidad de habilitar instalaciones de terceros. Al aprovechar la credibilidad y la facilidad de la tienda de Google Play, todos los objetivos tienen que hacer habilitar el malware es hacer clic en “instalar”.

“independientemente del objetivo o del impulso de los atacantes, ViperRAT en Google Play demostró la creciente sofisticación de las amenazas móviles”, escribieron los investigadores. “Esto es alarmante para nosotros, porque como la continuidad de los atacantes encontrar nuevas formas de agregar legitimidad a sus aplicaciones maliciosas, sus ataques de phishing se harán más exitosos.”

Google no respondió a una solicitud de comentario.

ViperRAT, que surgió por primera vez en 2015, se pensó inicialmente que era una posible campaña del grupo político palestino Hamas en un esfuerzo por atacar a los soldados israelíes. Lookout Cast duda sobre esa hipótesis el año pasado debido a la sofisticación del malware, un hecho que se ha vuelto aún más pronunciado desde su descubrimiento inicial.

Android es, con mucho, el sistema operativo más popular del mundo, lo que hace que Google juegue la tienda oficial de aplicaciones más importante — y fuertemente focalizada — en existencia. Google eliminó 700,000 aplicaciones maliciosas de la tienda de Google Play en 2017, dijo la empresa el año pasado, un aumento del 70 por ciento sobre 2016. La mayoría de las aplicaciones maliciosas son detectadas por la máquina de aprendizaje y la inteligencia artificial, un umbral importante que se aprobó por primera vez a principios de 2017.