El investigador de seguridad Lukas Stefanko, ha descubierto una app maliciosa que cuenta con más de 5,000 descargas en Google Play Store, pues se encontraba en la tienda desde hace más de un año.

Lukas Stefanko, ha publicado en su blog el descubrimiento de un troyano oculto en la app para Android llamada “Simple Call Recorder” publicada por la cuenta ‘FreshApps Groups’.

Esta app maliciosa se encontraba disponible en la Google Play Store desde 2017 y cuenta con 5000 descargas hasta el momento de su detección.

Encontré un troyano en Play Store disponible para descargar casi por un año. Su funcionalidad maliciosa estaba oculta dentro de la aplicación “Simple Call Recorder” publicada por “FreshApps Group”.

Simple Call Recorder se cargó en Google Play el 30 de noviembre de 2017 y cuando informé de esta aplicación al equipo de seguridad de Google, la aplicación tenía más de 5,000 instalaciones.

De acuerdo con el investigador, la app maliciosa ha sido diseñada como un dropper de malware. Que permite “descargar una aplicación adicional y engañar al usuario para que la instale como actualización de Flash Player.”

Funcionalidad

Después de la instalación y ejecución, Simple Call Recorder descifra el archivo binario adicional que se carga dinámicamente.

App maliciosa de ES File Explorer obtiene más de 10 mil descargas en la Google Play Store

Luego solicita al usuario que instale una falsa actualización de flash desde http: //adsmserver [.]Club /up/ update.apk (el instalador ahora se elimina y redirige a AdMob de Google).

Esta funcionalidad no es una parte integral del registrador de llamadas, sino que fue agregada por el atacante, indica el investigador.

Debido a que la carga útil del malware ya no estaba disponible, es imposible saber para qué la usó el desarrollador de Android del FreshApps Group.

Lo más probable es que el atacante haya encontrado una de estas aplicaciones en fuentes alternativas, tal vez incluso un código fuente abierto en GitHub, y se robó la funcionalidad de grabación de llamadas. Luego implementó el código malicioso y lo cargó en Play Store.

No es la primera vez que el investigador descubre una app de este tipo en la Google Play Store, hace unos meses, descubrió un troyano bancario también camuflado como una aplicación legítima de grabación de llamadas de Android que robaba información bancaria de dispositivos afectados.

Han sido muchas las aplicaciones maliciosas encontradas en la tienda de Google, por lo que preocupa que se sigan dejando publicar aplicaciones sin analizar a profundidad.

Más en TekCrispy