Los expertos de Kaspersky que analizan aplicaciones maliciosas en Google Play y su venta desde la darknet han descubierto que las apps móviles infectadas y las cuentas de desarrolladores de tiendas se venden por hasta 20.000 dólares.
Mediante el uso de Kaspersky Digital Footprint Intelligence, los analistas recopilaron ejemplos de hasta nueve foros diferentes de la darknet en los que se compran y venden bienes y servicios relacionados con el malware. El informe refleja cómo las ventas de este tipo de productos aparecen luego en Google Play. El informe también revela los tipos de ofertas disponibles, los precios y la forma en que se relacionan los ciberdelincuentes.
Las tiendas de aplicaciones oficiales están sometidas a una fuerte y constante vigilancia, pero a veces no detectan determinadas apps maliciosas que se suben a la plataforma. Cada año, Google Play elimina un gran volumen de ellas después de haber infectado a las víctimas. Los ciberdelincuentes se citan en la darknet, un submundo digital con sus propias reglas y precios de mercado, para comprar y vender aplicaciones maliciosas para la Google Play. Además, cuentan con servicios para dar publicidad a sus creaciones.
Ejemplo de anuncio en la darknet en el que se ofrecen apps maliciosas para Google Play
Como sucede en los mercados legales, en la darknet se ofrecen productos para diferentes necesidades, clientes y presupuestos. Para publicar una app maliciosa los ciberdelincuentes necesitan una cuenta de Google Play y un código de descarga malicioso. Las cuentas de desarrollador se pueden comprar a un precio razonable, por entre 60 y 200 dólares. En cuanto al coste de los cargadores maliciosos, se sitúa entre los 2.000 y los 20.000 dólares, según la complejidad del malware, sus características y funciones adicionales.
Generalmente, el malware a distribuir se oculta bajo rastreadores de criptomonedas, apps financieras, escáneres de códigos QR o aplicaciones de citas. El usuario piensa que está ante apps legales, pero en realidad están infectadas. Por otra parte, los ciberdelincuentes tienen en cuenta el número de descargas de la versión legítima de las aplicaciones para conocer el número de víctimas potenciales.
Venta de una app maliciosa bajo la apariencia de un rastreador de criptomonedas
Por un coste adicional, los ciberdelincuentes pueden ocultar el código de la app para que sea más difícil de detectar por las soluciones de ciberseguridad. Para incrementar las descargas, en la darknet se ofrece también la posibilidad de dirigir el tráfico a través de anuncios de Google con el fin de atraer a más usuarios para que ejecuten la descarga y se infecten. El coste en este caso es diferente en cada país. La media es de 0,50 dólares, con ofertas que van desde los 0,10 dólares hasta varios dólares. En una de las ofertas, los anuncios elaborados para usuarios norteamericanos y australianos tenían un coste que alcanzaba los 0,80 dólares.
Algunos vendedores limitan los lotes de producto y los subastan. En una de las pujas analizadas, el precio inicial era de 1.500 dólares con incrementos regulares de 700 dólares durante la puja. La compra instantánea por el precio más alto alcanzó los 7.000 dólares.
Los vendedores de la darknet también ofrecen directamente la subida de la app maliciosa a la Google Play para que el comprador no interactúe con la store, recibiendo este último sin embargo los datos de las víctimas que sean ciberatacadas. Puede pensarse que el vendedor tiene fácil en este caso engañar al comprador, pero en la darknet es común que los primeros mantengan su reputación mediante determinadas garantías o a través de pagos a posteriori, una vez se haya conseguido el objetivo perseguido. Por otra parte, y para reducir los riesgos al hacer negocios, los ciberdelincuentes recurren a los servicios de intermediarios conocidos como 'escrow'. Estos depósitos de garantía pueden estar respaldados por una plataforma en la sombra o por un tercero.
"Las apps móviles maliciosas siguen siendo una de las principales ciberamenazas para los usuarios, con más de 1,6 millones de ataques móviles detectados durante 2022. Al mismo tiempo, la calidad de las soluciones que protegen a los usuarios también aumenta. En la darknet hay mensajes de delincuentes quejándose de que ahora les resulta más difícil subir aplicaciones maliciosas a las tiendas oficiales. Esto implica que trabajan en sistemas más sofisticados, por lo que el usuario debe mantenerse siempre alerta y verificar con cuidado qué aplicación se está descargando", explica Alisa Kulishenko, experta en seguridad de Kaspersky,
Para mantenerse a salvo de estas amenazas, Kaspersky recomienda:
Revisar los permisos otorgados a las apps. Es importante sopesar qué hacer cuando se dan permisos de alto riesgo, como es el caso de los servicios de accesibilidad. El único permiso que necesita una app para usar el móvil como linterna es ese, el de la linterna (ni localización, ni acceso a la cámara, etcétera…).
Usar una solución de seguridad de confianza ayuda a detectar apps maliciosas y adware antes de que infecten el dispositivo.
Los usuarios de iPhone (Apple) tienen a su disposición controles de privacidad; pueden bloquear el acceso a fotos, contactos y el GPS si consideran que son permisos innecesarios.
Actualizar el sistema operativo y las aplicaciones siempre que sea posible. La mayoría de los problemas se solucionan con las versiones más actuales de software.
Para más ejemplos de las amenazas que se ciernen sobre la Google Play a través de la darknet, accede a Securelist.
