"Alarmware" en Google Play: no detiene una alarma hasta que se instala otra app maliciosa


En ElevenPaths, hemos encontrado algunas muestras de downloaders en Google Play que funcionan de una manera muy especial. Las aplicaciones esconden su icono e instala un servicio que descargará otra aplicación de un servidor. Esto ya lo hemos visto antes... pero la parte interesante es que, para intentar que se instale la app descargada, comenzará una especie de alarma que sonará cada pocos segundos hasta que el nuevo paquetes descargado de Google Play sea de verdad instalado por el usuario.


Hemos encontrado varias muestras vivas de una nueva variante de downloader conocida como "Stew.B" que ya cubrimos hace algunos meses. Pero esta vez, funcionan de una manera muy diferente, todavía más molesta. Quizás deberíamos llamarlo "alarmware".

Cómo funciona

Se supone que las apps son guías de Minecraft (un viejo truco) o Clash of Clans. Incluso recetas de pizza o consejos para perder peso. La app analizada muestra algunos anuncios y entonces simplemente elimina el icono del escritorio para que el usuario no sea capaz de lanzarla de nuevo. Sin embargo, entre bambalinas, la app instala un servicio que se lanzará a sí mismo en cada reinicio.


El servicio puede responder a dos eventos, cuando la pantalla se bloquea y desbloquea y cuando una aplicación es instalada o desinstalada. El servicio dispone de una función aleatoria para calcular cuántas horas o minutos esperar desde que la primera app sea instalada, hasta la visita al servidor del atacante y recoger algunas instrucciones. Entre ellas, una URL apuntando a paquete que será descargado y que podría ser, literalmente, cualquier cosa.


Después se lanza este APK descargado y... realmente intentará que se instale. Incluso si el teléfono no está configurado para instalar apps desde fuera de Google Play.


Muchos de estos dispositivos es posible que dispongan de la medida de seguridad activada: "no instalar APKs desde fuentes no confiables" (fuera de Google Play). Así que el recién descargado programa del atacante no podrá ser instalado y una de estas pantallas aparecerá una y otra vez.


Y, mostrando estas pantallas una y otra vez, la experiencia de usuario será a partir de ahora bastante molesta. Usando como truco un componente "Toast" (una notificación de texto especial que aparece cuando el teléfono se conecta a una red Wi-Fi por ejemplo u otros mensajes importantes de sistema) comenzará a mostrar una y otra vez un mensaje instando a la instalación y un sonido molesto. Incluso vibrará. Si se cancela o se vuelve atrás, comenzará de nuevo (el sonido y el mensaje) tratando de convencer al usuario de que es una actualización de Google Service o algo parecido. Esto ocurrirá cada pocos segundos. Si el usuario permite la instalación de APKs fuera de Google Play, o finalmente lo configura de esta manera porque ya no puede soportar la molestia, aparecerá esta pantalla de instalación.


El mensaje y alerta sonora de Toast de instalación aparecerá una y otra vez. El texto mostrado estará en el idioma del navegador (porque fue tomado del servidor del atacante). La alerta sonará incluso si el dispositivo está en silencio. Será muy complicado utilizar el teléfono de forma "normal", a menos que se desinstale la app original (si es que se puede con la pantalla de petición de instalación que aparece cada pocos segundos). Será así todo el tiempo hasta desinstalar la app original descargada de Google Play o finalmente acceder a la instalación de lo descargado.

Si el usuario finalmente lo instala, la alarma de detendrá y, en este caso, aparecerán "dos" programas Google Service... ¿quién se atreve a desinstalar cualquiera de ellos?


Curiosamente, la aplicación instalada (el programa falso de Google Service) es otra vez el mismo código que la original descargada, lo que resulta extraño. Parece que el atacante estaba probando, pero esto podría cambiar en cualquier minuto. El atacante es de Rusia, y ya usó una técnica similar en marzo, que fue eliminada por Google.


Hace unas semanas, el atacante consiguió de nuevo subir otras apps al market. Algunas de ellas todavía están online. Estas son las que hemos encontrado gracias a Tacyt, como ya hicmos anteriormente con JSDialers, JSSMSers, Clickers, Shuabang, etc.

  • Guide minecraft game, com.appalexk.mcs, 965559baa77650d9c6249626d33ad14c5210c272
  • Guide Minecraft Free, com.appalexk.aam, bde1502855e2d9912937906c1d85bec24b3b6246
  • Guide for Clash of Clans, com.appalexk.cofc, 30c4db4033478007a1bdc86a40e37b5cd4053633
  • Recipes Pizza, com.appalexk.pizza, a84197a150285f04aee1096e96374255ccf5c2aa
  • Гайд для Earn to Die, com.appalexk.dde



El APK descargado desde el servidor del atacante es (ahora mismo) :a2123233d8d972b68c721c01c6ad1785d8189fb9

Fuente: Eleven Paths