Los investigadores de ciberseguridad han centrado su atención en un nuevo cambio en las aplicaciones de gotero, que generalmente se usan para entregar troyanos bancarios, para distribuir malware más simple, como SMS Steelers y Spyware básico.
Estas campañas se están propagando a través de aplicaciones de gotero disfrazadas de aplicaciones gubernamentales o bancarias en India y otras partes de Asia, dijo Amenazfabric en un informe la semana pasada.
La compañía de seguridad móvil holandesa dijo que el cambio está impulsado por las recientes protecciones de seguridad en las que Google requiere configuraciones abusadas, como mensajes SMS y servicios de accesibilidad para bloquear las aplicaciones sospechosas que pueden requerir permisos peligrosos, como mensajes SMS y servicios de accesibilidad.
«La defensa de Google Play Protect, particularmente los programas piloto dirigidos, se está volviendo cada vez más efectiva para detener aplicaciones de alto riesgo antes de que se ejecuten», dijo la compañía. «En segundo lugar, el actor quiere mantener su negocio en el futuro».
«Al encapsular incluso la carga útil básica dentro del gotero, obtienes un caparazón de protección que puede evitar los cheques de hoy y al mismo tiempo permanecer lo suficientemente flexible como para intercambiar cargas útiles y campañas de pivote mañana».
Amenazfabric dijo que la estrategia de Google está elevando la apuesta al bloquear las aplicaciones maliciosas de la instalación incluso antes de que los usuarios interactúen, pero los atacantes están probando nuevas formas de mostrar juegos de juegos interminables cuando se trata de seguridad.
Esto incluye proporcionar solo pantallas inofensivas de «actualización» que pueden volar más allá de los escaneos en su área, con el programa piloto de Google en mente y el diseño de gotero en mente, sin pedir permisos riesgosos.
Sin embargo, cuando un usuario hace clic en el botón «Actualizar», la carga útil real se obtiene o se libera del servidor externo, solicitando los permisos necesarios para lograr el objetivo.
«Play Protect puede mostrar alertas de riesgo como parte de diferentes escaneos, pero mientras el usuario las acepte, la aplicación se instalará y la carga útil se entregará», dijo Amenazfabric. «Esto muestra una brecha importante. PlayProtect permite aplicaciones de alto riesgo incluso si el malware desliza el programa piloto cuando el usuario hace clic en la instalación de todos modos».
Uno de esos cuenteros es el redupminer, que se sabe que se proporciona junto con la carga útil de spyware. Sin embargo, las variaciones recientes de la herramienta ya no incluyen características menores.
Algunas de las aplicaciones maliciosas entregadas a través de RegidDropMiner se enumeran a continuación para todas las aplicaciones dirigidas a usuarios indios –
PM Yojana 2025 (com.fluvdp.hrzmkgi) ° rto challan (com.epr.fnroyex) sbi en línea (com.qmwownic.eqmff) tarjeta de eje (com.tolqppj.yqmrlytfzrxa)
Otras variantes de cuentagotas que evitan la activación de programas de Play Protect o Pilot incluyen Securidropper, Zombinder, BrokeWelldropper, Hiddencatdropper y Tiramisudropper.
Al llegar al comentario, Google le dijo a Hacker News que no había encontrado una aplicación utilizando estas técnicas distribuidas a través de Play Store y que constantemente agregaba una nueva protección.
«No importa de dónde provenga la aplicación, incluso si está instalada por la aplicación ‘Dropper’, Google Play Protect puede ayudar a mantener a los usuarios seguros al verificar automáticamente las amenazas», dijo el portavoz.
«La protección contra estas versiones de malware identificadas ya se introdujo a través de Google Play Protect antes de este informe. Según las detecciones actuales, no se encontraron aplicaciones que contengan estas versiones de este malware en Google Play. Estamos constantemente aumentando la protección que ayuda a los usuarios a salvo de malos actores».
El desarrollo se debe a que Bitdefender Labs advierte sobre una nueva campaña que utilizará anuncios maliciosos en Facebook para hacer una versión premium gratuita de la aplicación TradingView para Android y, en última instancia, formulará una versión mejorada de los troyanos bancarios de Brokewell para monitorear, controlar y robar de los dispositivos de las víctimas.
Desde el 22 de julio de 2025, han estado funcionando más de 75 anuncios maliciosos, llegando a decenas de miles de usuarios solo en la Unión Europea. La ola de ataques de Android es solo parte de una operación masiva de malvertición que abusa de los anuncios de Facebook y se dirige a los escritorios de Windows bajo la apariencia de diversas aplicaciones financieras y de criptomonedas.
«Esta campaña muestra que los ciberdelincuentes están ajustando tácticas para mantenerse al día con el comportamiento del usuario», dice la compañía rumana de ciberseguridad. «Al atacar a los usuarios móviles y disfrazar el malware como una herramienta comercial confiable, los atacantes quieren ganar una creciente dependencia de las aplicaciones de criptografía y las plataformas financieras».
Source link
