Troyano “suscriptor” Harly oculto en aplicaciones aparentemente inofensivas en Google Play

Varios tipos de malware a menudo se esconden detrás de aplicaciones aparentemente inofensivas en la tienda oficial de Google Play. Aunque la plataforma se supervisa cuidadosamente, los moderadores no siempre pueden detectar dichas aplicaciones antes de que estén disponibles para los usuarios de Google Play.

Uno de los tipos de malware más populares son los troyanos de “suscriptor” que se suscriben a servicios pagos sin el conocimiento del usuario. Los más populares entre este tipo de malware son Jocker, MobOk, Vesub y GriftHorse.

Pero un troyano igualmente popular que se mantuvo a la sombra de los anteriores es Harly, muy similar al Joker, que recibió un nombre ligeramente cambiado de asistente del famoso villano de cómic. Estos dos troyanos probablemente tengan un origen común.

A partir de 2020, se han encontrado más de 190 aplicaciones infectadas con Harly en Google Play, según Kaspersky. Una estimación conservadora del número de descargas de estas aplicaciones es de 4,8 millones, pero el número real puede ser mayor.

Al igual que los troyanos Jocker, los troyanos de la familia Harly imitan aplicaciones legítimas. Los estafadores descargan aplicaciones normales de Google Play, les inyectan código malicioso y luego las suben a Google Play con un nombre diferente. Es posible que las aplicaciones aún tengan funciones que se enumeran en la descripción, por lo que es posible que los usuarios ni siquiera sospechen que algo malo está sucediendo.

La mayoría de los miembros de la familia Jocker son descargadores de varias etapas. Los troyanos de la familia Harley, por otro lado, contienen todo el carga útil dentro de la aplicación y utiliza diferentes métodos para descifrar y ejecutar.

Al igual que otros troyanos de suscriptores, Harly recopila información sobre el dispositivo del usuario, especialmente la red móvil. El teléfono del usuario cambia a la red móvil y luego el troyano le pide al servidor de C&C que configure una lista de suscripciones para las que debe solicitar.

El troyano abre la dirección de suscripción en una ventana invisible e ingresa el número de teléfono del usuario, presiona los botones necesarios e ingresa el código de confirmación del mensaje SMS. El resultado es que el usuario queda registrado en un servicio por el que pagará, sin siquiera darse cuenta.

Otra característica importante de este troyano es que se puede suscribir no solo cuando el proceso de suscripción incluye un código de un mensaje SMS, sino también cuando el proceso está protegido por una llamada telefónica: en este caso, el troyano llama a un determinado número y confirma la suscripción.

¿Cómo protegerse de tales troyanos? Las tiendas de aplicaciones oficiales luchan continuamente contra la propagación de malware, pero no siempre lo consiguen. Antes de instalar una aplicación, primero debe leer las reseñas de los usuarios y verificar su calificación en Google Play. Por supuesto, tenga en cuenta que las reseñas y calificaciones pueden ser falsas.

Fuente: kaspersky



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!