El malware para móviles ha robado cientos de millones de dólares a usuarios desprevenidos, gracias a 470 aplicaciones maliciosas diferentes bien diseñadas en Google Play.
Cerca de 500 aplicaciones maliciosas que acechan en Google Play Store han instalado con éxito el malware Dark Herring -un ladrón de dinero en efectivo destinado a añadir cargos furtivos en las facturas de los operadores de telefonía móvil- en más de 100 millones de dispositivos Android en todo el mundo.
Es un buen banco de peces.
El malware Dark Herring fue descubierto por un equipo de investigación de Zimperium, que estima que la cantidad que la campaña ha podido robar asciende a cientos de millones, en incrementos de 15 dólares al mes por víctima. Desde entonces, Google ha eliminado las 470 aplicaciones maliciosas de la Play Store, y la empresa ha dicho que los servicios de estafa han dejado de funcionar, pero cualquier usuario que tenga una de las aplicaciones ya instaladas podría seguir siendo víctima activa en el futuro. Las aplicaciones siguen estando disponibles en tiendas de aplicaciones de terceros.
Los consumidores de todo el mundo, sobre todo en las zonas con escasa cobertura bancaria, confían en la facturación directa del operador (DCB) como método de pago por móvil, que añade cargos por servicios no relacionados con las telecomunicaciones a la factura telefónica mensual del consumidor. Es un objetivo jugoso para los adversarios.
En este caso, el cargo errante de 15 dólares no es necesariamente suficiente para que un usuario final lo note durante varios meses, pero multiplicado a través de más de 100 millones de cuentas, las ganancias mal habidas se acumulan rápidamente, explica el informe.
«Las estadísticas de descarga revelan que más de 105 millones de dispositivos Android tenían este malware instalado, siendo víctimas de esta campaña a nivel mundial, sufriendo potencialmente pérdidas financieras incalculables», decía el informe de Zimperium. «El grupo cibercriminal que está detrás de esta campaña ha construido un flujo estable de fondos ilícitos a partir de estas víctimas, generando millones en ingresos recurrentes cada mes, con la cantidad total robada potencialmente bien en los cientos de millones.»
La campaña se detectó por primera vez en marzo de 2020 y funcionó activamente hasta el pasado mes de noviembre, según el informe.
Los analistas de Zimperium que identificaron a Dark Herring dijeron que el scamware es probablemente el trabajo de un nuevo grupo, que utiliza técnicas e infraestructura novedosas.
La dominación mundial de Dark Herring
El triunfo de Dark Herring fue el resultado de una combinación de tácticas inteligentes, según los analistas; en concreto, el uso de geo-targeting para entregar la aplicación en el idioma nativo de la víctima.
«Este truco de ingeniería social es excepcionalmente exitoso y efectivo, ya que los usuarios se sienten generalmente más cómodos compartiendo información en su idioma local», añadió el equipo. «La campaña es excepcionalmente versátil, ya que se dirige a usuarios de móviles de más de 70 países cambiando el idioma de la aplicación y mostrando el contenido según la dirección IP del usuario actual».
El grupo que está detrás de Dark Herring también consiguió poner en pie 470 aplicaciones de alta calidad que pasaron el examen oficial de las tiendas de aplicaciones, lo que demuestra que se trata de una operación sofisticada, según señalaron los analistas. Todas las aplicaciones funcionaban tal y como se anunciaban, y estaban repartidas en una amplia gama de categorías.
«Producir un gran número de aplicaciones maliciosas y enviarlas a las tiendas de aplicaciones apunta a un esfuerzo amplio y concertado de un grupo bien organizado», explica el informe. «Estas aplicaciones no son simples clones de otras o de otras aplicaciones, sino que se producen de forma única a un alto ritmo para engañar a los conjuntos de herramientas de seguridad tradicionales y a las víctimas potenciales».
Además de una infraestructura robusta, la campaña de Dark Herring utiliza proxies como URL de primera etapa para ayudar a evitar la detección; y gracias a esas capacidades de geolocalización, fue capaz de acotar la búsqueda de las víctimas más idóneas.
Por ejemplo, los atacantes tendían a centrarse en los usuarios de países con protecciones menos estrictas para los usuarios de telecomunicaciones, como Egipto, Finlandia, India, Pakistán y Suecia, según los investigadores.
«Debido a la naturaleza del DCB, es posible que algunos países se hayan dirigido a él con menos éxito que otros debido a las protecciones de los consumidores establecidas por las empresas de telecomunicaciones», señala el informe.
Entre las branquias
Desde el punto de vista técnico, una vez que se instala y se lanza la aplicación de Android, se carga una URL de primera etapa en una vista web, que está alojada en Cloudfront, dijeron los investigadores. A continuación, el malware envía una solicitud GET inicial a esa URL, que devuelve una respuesta con enlaces a archivos JavaScript alojados en instancias en la nube de Amazon Web Services.
La aplicación recupera entonces estos recursos, que necesita para proceder con el proceso de infección – y específicamente, para habilitar el geo-targeting.
«Uno de los archivos JavaScript indica a la aplicación que obtenga un identificador único para el dispositivo haciendo una solicitud POST al punto final de la API «live/keylookup» y luego construyendo una URL de etapa final», según el análisis. «La variable baseurl se utiliza para hacer una solicitud POST que contiene identificadores únicos creados por la aplicación, para identificar el dispositivo y los detalles de idioma y país».
La respuesta de esa URL de la etapa final contiene la configuración que la aplicación utilizará para dictar su comportamiento, basándose en los detalles de la víctima. Basándose en esta configuración, se muestra a la víctima una página web para móviles, en la que se le pide que envíe su número de teléfono para activar la aplicación (y los cargos de DCB). Esta página se personaliza en cuanto al idioma del texto, la bandera mostrada y el código de país.
Gracias al flujo constante de ingresos, Dark Herring es una operación bien financiada. «Las pruebas también apuntan a una importante inversión financiera por parte de los actores maliciosos en la construcción y el mantenimiento de la infraestructura para mantener esta estafa global operando a un ritmo tan alto», dice el informe.
Dados los claros logros de Dark Herring, Zimperium dijo que parece poco probable que esto sea lo último que la comunidad de ciberseguridad escuche de este grupo de ciberdelincuentes.