• El 62% de las víctimas están en Italia, el 36% en el Reino Unido y el 2% en otros países 
• Los ciberdelincuentes implementaron la función de geofencing, que ignora a los usuarios de dispositivos en China, India, Rumanía, Rusia, Ucrania y Bielorrusia 
• Check Point Research ha comunicado los resultados a Google que ha eliminado este tipo de aplicaciones

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ha descubierto seis aplicaciones que propagan malware bancario en la Play Store de Google haciéndose pasar por soluciones antivirus. Conocido como ‘Sharkbot’ este tipo de ataque roba credenciales e información bancaria de los usuarios de Android. Se trata de un malware que atrae a sus víctimas para que introduzcan sus credenciales en ventanas que imitan los formularios de inserción de credenciales. Cuando el usuario ingresa sus datos, la información comprometida se envía a un servidor malicioso. Asimismo, los investigadores han descubierto que los autores han implementado una función de geofencing que hace que no se ejecute el malware si los usuarios de dispositivos están en China, India, Rumanía, Rusia, Ucrania o Bielorrusia.

Las seis aplicaciones maliciosas

Cuatro de las solicitudes procedían de tres cuentas de desarrolladores, Zbynek Adamcik, Adelmio Pagnotto y Bingo Like Inc. Al comprobar el historial de estas direcciones, Check Point Research ha detectado que dos de ellas estaban activas desde el otoño de 2021. Algunas de las aplicaciones vinculadas a las mismas se eliminaron de Google Play, pero siguen existiendo en mercados no oficiales. Esto podría significar que el ciberdelincuente que está detrás intenta pasar desapercibido mientras sigue participando en actividades maliciosas.

Los investigadores han recogido datos estadísticos durante una semana. A lo largo de este tiempo, han contado más de 1.000 IPs de víctimas, en su mayoría de Reino Unido e Italia, y que aumenta aproximadamente en 100 nuevas personas afectadas cada día, Según las estadísticas de Google Play, hay 11.000 descargas de las seis aplicaciones maliciosas detectadas. 

Figura 2. % de víctimas por país.

Metodología de ataque 

1. Incluir al usuario para que conceda permisos de servicio de accesibilidad a la aplicación.
2. Tras ello, el malware obtiene el control de gran parte del dispositivo de la víctima.
3. Los ciberdelincuentes también pueden enviar notificaciones push a las víctimas con enlaces maliciosos.

No hay pruebas suficientes para hacer una atribución, aunque, se puede deducir que los autores del malware hablan ruso. 

Google ha tenido conocimiento de los hallazgos inmediatamente después de identificar estas aplicaciones que propagan Sharkbot y, después de examinarlas, se han eliminado permanentemente de Google Play. El mismo día en que Check Point Research informó de los descubrimientos a Google, el grupo NCC publicó una investigación independiente sobre Sharkbot, mencionando una de las aplicaciones maliciosas.

“Hemos descubierto seis aplicaciones en la Play Store de Google que estaban propagando el malware Sharkbot que roba credenciales e información bancaria. Si observamos el número de descargas podemos suponer que los responsables de la amenaza dieron en la diana con su método de propagación del malware. El ciberdelincuente ha elegido estratégicamente las aplicaciones en Google Play porque gozan de la confianza de los usuarios. Lo que también es digno de mención aquí es que envían mensajes a las víctimas que contienen enlaces maliciosos, lo que conduce a una adopción generalizada. En definitiva, el uso de mensajes push por parte de los atacantes para solicitar una respuesta de los usuarios es una técnica de propagación inusual. Creo que es importante que todos los usuarios de Android sepan que deben pensar dos veces antes de descargar cualquier solución antivirus de la Play Store. Podría ser Sharkbot”, advierte Eusebio Nieva, director de Check Point para España y Portugal.

Consejos de seguridad para usuarios de Android

1. Instalar aplicaciones sólo de proveedores de confianza y verificados.
2. Al ver una aplicación de un editor nuevo, hay que buscar análogos de uno de confianza.
3. Informa a Google de cualquier aplicación aparentemente sospechosa que se encuentre.