La compañía de ciberseguridad, Trend Micro, alertó que 17 aplicaciones disponibles en la tienda Google Play, forman parte del denominado DawDropper, un sistema que descarga de manera remota el código malicioso de troyanos bancarios en los dispositivos infectados.
Desde la empresa, investigadores informaron que esta maniobra maliciosa comenzó por primera vez a finales de 2021.
Trend Micro adelantó que este "malware" estaba incluido en aplicaciones de Android como Just In: Video Motion, Document Scanner Pro o Unicc QR Scanner.
Luego de conocerse esta noticia, las aplicaciones fueron bajadas de Google Play.
El objetivo de esta maniobra era que los usuarios descarguen, de forma remota, el código malicioso de hasta cuatro troyanos bancarios en los dispositivos.
Trend Micro remarcó que, para cumplir su meta, este sistema utilizaba el servicio en la nube, Firebase Realtime Database, pertenecientes a Google.
Gracias a esto, evitaba ser detectado y tenía acceso a la dirección de descarga del código malicioso.
El denominado sistema DawDropper, empleaba con GitHub, otro servicio de terceros, propiedad de Microsoft, que como camino alternativo para obtener el código, que finaliza en la descarga de los usuarios a sus dispositivos afectados.
La aplicación que forma parte DawDropper persuadía a los usuarios para que le otorgara los permisos principales de accesibilidad para controlar el 100% de su sistema.
Luego de ser instalado el "malware", éste tenía la capacidad de inhabilitar cualquier filtro de seguridad del dispositivo, como Google Play Protect, el sistema de protección que rastreaba movimientos extraños.
Los troyanos mantenían los dispositivos activos para recolectar la mayor información posible del usuario, como contactos, mensajes de textos para trasladarlos a un servidor de Comando y Control (C&C).
Además, éste "malware" era capaz de grabar la pantalla y así registrar las contraseñas del artefacto afectado.
Hay varios elementos similares en las 'apps' maliciosas presentes en Google Play que le permiten hablar de un "patrón" que puede ayudar a los usuarios a anticiparse a este tipo de amenazas.
Para empezar, la cuenta de los desarrolladores suele incluir solo una aplicación, lo que puede levantar las sospechas del usuario, y en caso de ser vetados de la tienda, crean simplemente otra cuenta que reemplaza a la anterior.
Otro aspecto que deben tener en cuenta los usuarios son las políticas de privacidad.
En el caso de estas 'apps' maliciosas, suelen ser cortas, se sirven de una plantilla y nunca llegan a explicar con claridad su actividad. Además, tienden a estar alojadas en una página de Google Doc o de Google Sites.
En último lugar, este tipo de aplicaciones nunca suele estar relacionada con un sitio web o el nombre de una compañía que respalde su actividad y genere confianza en el consumidor.