Aplicación con phishing bancario publicada en Google Play


Recientemente se ha detectado en Google Play una aplicación que incluía código para mostrar páginas web con phishing para robar las credenciales de los usuarios que la instalasen.

Introducción

Durante el análisis se ha detectado un phishing dirigido a una entidad bancaria española, cuyo logo tiene un cierto parecido con el icono de la app, y que seguramente hayan utilizado los atacantes para reducir las sospechas de los usuarios cuando se muestra el phishing.

app-phishing-bancario-google-play-01

App en Google Play

La aplicación fraudulenta se trata de una versión modificada de la aplicación de código abierto QKSMS, que ofrece la funcionalidad necesaria para la administración y envío de SMS en dispositivos Android, con la idea de reemplazar a la aplicación por defecto que incluye el sistema operativo.

Mientras que la aplicación original de QKSMS tiene más de 500.000 instalaciones en Google Play, la app modificada solamente ha llegado a alcanzar algo más de 100, que aunque parezcan pocas comparadas con la original, sigue tratándose de un número importante de usuarios que podrían haber introducido sus credenciales en el phishing.

 

Funcionamiento

El funcionamiento de esta aplicación maliciosa es sencillo, y no tiene casi nada que ver con el funcionamiento que solemos observar en el caso de los troyanos bancarios para Android.

En el caso de los troyanos bancarios es habitual que incluyan múltiples entidades bancarias entre las afectadas para aumentar la probabilidad de éxito.

En este caso, parece que los atacantes solamente están interesados en una entidad, ya que la vista web que muestra el phishing solamente lo muestra para una entidad.

En el momento de realizar nuestro análisis no se han encontrado en el servidor de control ninguna otra web de phishing más allá de la web para la entidad afectada.

Aunque los atacantes podrían modificarla e incluir otras entidades si quieren, ya que el phishing se hace a través de una WebView que carga una URL del servidor de control.

La web fraudulenta se carga al iniciar la aplicación.

app-phishing-bancario-google-play-05

Web con el phishing solicitando el número de teléfono del usuario

 

Solamente se solicitan los datos al usuario una vez, después de que el usuario los haya introducido por primera vez, la aplicación cargará en su lugar una web con un mensaje que indica al usuario que se ha registrado el dispositivo y tendrá acceso tras 12 horas, después de validarlo.

app-phishing-bancario-google-play-04

Mensaje mostrado tras mostrar el phishing

Tanto el envío de los datos robados en la web de phishing como del contenido de los mensajes de texto recibidos se vuelca a una base de datos de Firebase, en lugar de al propio servidor en el que se aloja la web fraudulenta.

app-phishing-bancario-google-play-03

Envío de los SMS recibidos a Firebase

¿Cómo puede una aplicación como esta, que nada más iniciarla muestra el phishing, colarse en la tienda oficial de Google?

Pues como suele pasar en estos casos en los que se cuela malware en Google Play, lo que hacen los atacantes es desactivar la funcionalidad maliciosa hasta que la aplicación es aprobada, y en muchos casos, esperan incluso más, tratando así de maximizar la cantidad de usuarios que descargan una aplicación aparentemente no maliciosa, pero que de la noche a la mañana comienza a actuar.

En este caso, al igual que en muchos otros, el malware contacta con el servidor de control para determinar si debe mostrar el phishing o no. Realiza una petición POST y espera recibir como respuesta un JSON con el campo ‘check’ igual a ‘1’.

En ese caso mostrará el phishing e iniciará la actividad maliciosa. En caso contrario comenzará a ejecutar el código de la aplicación legítima de gestión de SMS.

app-phishing-bancario-google-play-02

Código que realiza la petición y muestra el phishing si corresponde

De esta forma el atacante solamente tiene que esperar a que la app sea aprobada y tenga suficientes instalaciones para activar el malware y comenzar a recopilar datos privados de sus usuarios.

Esta estrategia para ocultar la funcionalidad maliciosa durante el periodo de aprobación de la app es uno de los más utilizados, aunque también suele utilizarse una fecha incluida en el código de la aplicación como fecha de inicio de la actividad maliciosa.

 

Conclusiones

Una nueva aplicación maliciosa ha sido descubierta en Google Play, y en este caso se trata de un troyano bancario que utiliza una página web de phishing para robar los datos del usuario, además de los mensajes de texto recibidos, probablemente con la intención de obtener los códigos de un solo uso del segundo factor de autenticación.

Para lograr colarse en la tienda de Google, sus desarrolladores han modificado una aplicación legítima de código abierto y han añadido el código malicioso, que se ejecutará únicamente si el servidor de control así lo indica.

Durante el periodo de revisión para ser aceptada en la tienda, los atacantes configuran el servidor para que el código malicioso no se ejecute, y parezca que se trata únicamente de la aplicación legítima. Sin embargo, tras ser aprobada, el servidor de control responderá a las peticiones correctamente para activar el código malicioso. 

Esta estrategia de activación de la funcionalidad maliciosa, junto a añadir una fecha determinada en el código de la app, son las más utilizadas por los atacantes para colar sus creaciones en la tienda oficial de Google, lo que aumenta la cantidad de instalaciones debido a una mayor sensación de seguridad al instalar aplicaciones que provienen del Google Play.

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo