Una nueva ola de archivos de paquetes de Android Maliciosos (APK) está entrelazando dos de las fuentes de ingresos más confiables del delito cibernético, hurga en la publicidad y el robo de credenciales, en una sola amenaza adaptable que ha comenzado a circular por el sudeste de Asia, América Latina y partes de Europa.
Disfrazado de juegos casuales, servicios públicos de recompensa de tareas o incluso clones de aplicaciones legítimas de Chrome o Facebook, el malware atrae a los usuarios de Google Play a instaladores deshonestos de Sideload, una táctica que deja de lado los controles de investigación de Google incorporados y capitaliza los gancos de inenfecimiento social como “Get $ 5” o “Cree su campaña publicitaria”.
Una vez que el APK aterriza en el auricular de una víctima, la aplicación solicita inmediatamente un ramo excesivo de permisos (cámara, contactos, administración de cuentas y la capacidad de correr servicios en primer plano) más allá de lo que cualquier juego o una aplicación de cupón liviana debería necesitar.
Analistas de SpiderLabs de confianza identificado La campaña mientras rastrea un señuelo temático de Facebook-ADS que retiró automáticamente una carga útil llamada FB20-11-EN.APK de un dominio falsificado.
Su telemetría muestra que el mismo fanático de la infraestructura saca docenas de aplicaciones variantes, cada región ajustada para hacerse pasar por bancos, telecomunicaciones o plataformas de apuestas aún compiladas a partir de una base de código común.
Las víctimas son golpeadas dos veces. En primer plano, la aplicación carga silenciosamente dominios estacionados y embudos de afiliados, simulando grifos y pergaminos para inflar los recuentos de impresión AD, una maniobra claramente mostrada en la cadena de redirección.
Cadena de redirección (fuente – Trustwave)
En segundo plano, convencer los formaciones de inicio de sesión de los nombres de usuario, contraseñas y ocasionalmente pines de una sola vez, reenviándolos a un back-end de comando y control (C2) cifrado.
Esta arquitectura de doble propósito, advierten los analistas, permite a los operadores monetizar todos los dispositivos infectados de inmediato mientras cosechan datos en silencio para reventa o adquisición posterior de la cuenta.
Debajo del capó, el clúster se basa en un sistema de configuración modular que envía su mapa C2 como una cadena base64 encriptada con AES en modo de libro de código electrónico.
Una clave codificada, 123456789MANGOFB) está integrada directamente en el APK, lo que permite que el malware decodifique rutas API frescas sobre la mosca y gire la infraestructura cuando los dominios están bloqueados.
La rutina relevante, descompilada por Trustwave, se reproduce a continuación para mayor claridad:-
Cifrado cifrado = cifrado.getInstance (“aes”); byte () keyBytes = new Byte (16); System.ArrayCopy (“123456789MANGOFB” .getBytes (), 0, KeyBytes, 0, 16); SecretKeySpec KeySpec = new SecretKeSpec (KeyBytes, “AES”); cipher.init (cipher.decrypt_mode, keySpec); byte () descifrado = cipher.dofinal (base64.decode (cifradodata, 0));
Mecanismo de infección: desde la respuesta lateral hasta el control silencioso
La instalación comienza con un mensaje de redes sociales o un póster de código QR que empuja a los usuarios a una página de destino parecida.
Al tocar el botón “Inicio ahora”, inicia una descarga inmediata de APK y, de manera crucial, suprime la advertencia de fuente de instalación normal de Android combinando la ruta del archivo con subdominios de aspecto legítimo como apk.kodownapp.top.
Una vez ejecutada, la aplicación aprovecha el marco APKSIGNETRETRETRETRETRETEX de código abierto para injertar una carga útil secundaria (Origin.APK) en su propio directorio sin invalidar la firma original, garantizando que el sistema operativo lo trata como una actualización confiable.
Configuración AES-Wrapped (fuente-Trustwave)
En la primera ejecución, emite un faro a 38.54.1.79:9086/#/entry, recupera la configuración de AES-Wrapped, y solo entonces activa la automatización de anuncios o los módulos de recolección de credenciales, reduciendo significativamente el ruido de comportamiento que la mayoría de las cajas de arena confían para la detección.
Con el tiempo, el usuario nota el drenaje anómalo de la batería o los picos de datos, tanto los ingresos por anuncios como los nuevos conjuntos de credenciales se han exfiltrado desde hace mucho tiempo a través de un canal de “Log de choque” que se disfraza de un subdominio aparentemente inocuo.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
