Minecraft App Malware Symantec

Los investigadores de la empresa de seguridad informática Symantec han descubierto al menos 8 aplicaciones malintencionadas en Google Play Store, que están engañando a los usuarios a través de una botnet para llevar a cabo potenciales DDoS y otros ataques maliciosos.

Estas aplicaciones pretendían proporcionar máscaras para cambiar la apariencia de los personajes del popular juegoMinecraft: Pocket Edition’, y han sido descargadas hasta 2,6 millones de veces antes de ser eliminadas. A pesar de ello, los investigadores descubrieron que estas apps contienen también un “nuevo tipo de malware Android altamente prevalente”, llamado Android.Sockbot, que conecta los dispositivos infectados a los servidores controlados por los hackers.

Symantec descubrió también, que las apps se dirigían principalmente a los usuarios de Estados Unidos, sin embargo, también tenían presencia en Rusia, Ucrania, Brasil y Alemania. La aplicación, una vez activada, se conecta a un servidor de Control y Comando (C&C) en el puerto 9001. Este servidor solicita a la app que abra un ‘socket’ utilizando el protocolo SOCKS para recibir una lista de anuncios y metadatos asociados.

Luego, el mecanismo de proxy SOCKS dirige el dispositivo infectado a un servidor de anuncios. A pesar de ello, los investigadores han dicho que no existe una funcionalidad dentro de la app para mostrar anuncios, lo que podría significar que estos servidores están dirigiendo los dispositivos para que participen en los ataques DDoS.

Una cuenta de desarrollador llamada FunBaster se ha vinculado a estas aplicaciones maliciosas y parece haber cifrado partes del código malicioso para “frustrar las formas de detección a nivel de base”. El desarrollador también ha firmado cada aplicación con una clave de desarrollador diferente para evitar la “heurística basada en el análisis estático”, afirmó.

La compañía Symantec notificó a Google sobre las aplicaciones maliciosas el pasado 6 de octubre, las cuales fueron eliminadas de su Play Store.