El Comercio

'Guerrilla', el malware que burla Google Play

'Guerrilla', el malware que burla Google Play
/ Archivo
  • Esta falsa aplicación permite a los ciberatacantes llevar a cabo campañas de promoción sospechosas usando dispositivos infectados para descargar apps

Expertos de Kaspersky Lab han descubierto un troyano en Android llamado 'Guerrilla', que trata de superar los mecanismos de protección antifraude de la tienda Google Play mediante una aplicación fraudulenta que se comporta como si hubiera una persona detrás de ella.

Esta falsa aplicación permite a los ciberatacantes llevar a cabo campañas de promoción sospechosas usando dispositivos infectados para descargar, instalar, votar y hacer comentarios sobre las publicaciones en Google Play. Sin embargo, este malware no solo es capaz de abusar de los mecanismos de los dispositivos infectados.

Con millones de usuarios y desarrolladores de software, Google Play es una plataforma atractiva para los cibercriminales. Entre otras cosas, los ciberdelincuentes usan Google Play para llevar a cabo las llamadas campañas Shuabang, muy extendidas en China.

Estas actividades de publicidad fraudulentas están dirigidas a promocionar algunas aplicaciones legítimas mediante la concesión de valoraciones más altas, incrementando sus descargas y publicando comentarios positivos sobre ellas en Google Play.

Muchas de estas aplicaciones usadas para llevar a cabo estas campañas, por lo general, no plantean ninguna amenaza para el usuario del dispositivo infectado como robo de datos o de dinero. Sin embargo, pueden hacer mucho más daño: la habilidad para descargar aplicaciones adicionales en los dispositivos infectados supone una carga extra para el tráfico de Internet, y, en algunos casos, las aplicaciones Shuabang son capaces de instalar, secretamente, programas gratuitos e incluso de pago, además de usar la tarjeta bancaria asociada a la cuenta del usuario de Google Play.

Cuentas fraudulentas

Para llevar a cabo estas actividades, los ciberdelincuentes crearon numerosas cuentas falsas en Google Play o infectaron los dispositivos de los usuarios con un malware especial con capacidad para realizar acciones en esta plataforma de forma encubierta basadas en las órdenes recibidas de los hackers.

Aunque Google tiene fuertes mecanismos de protección que ayudan a detectar y bloquear usuarios falsos para prevenir operaciones fraudulentas, los autores del troyano Guerrilla parecen estar tratando de superar esas protecciones.

El troyano se introduce en el dispositivo a través del rootkit Leech, un malware que otorga a los ciberatacantes privilegios de usuario sobre el dispositivo infectado. Estos privilegios dan a los cibercriminales oportunidades ilimitadas para manipular los datos del dispositivo.

Entre otras cosas, permite el acceso al nombre de usuario, a contraseñas y a tokens de autenticación, que son obligatorios para comunicarse con las aplicaciones de los servicios oficiales de Google e inaccesibles para las aplicaciones normales en dispositivos no rooteados. Tras la instalación, el troyano Guerrilla usa los datos para comunicarse con la tienda de Google Play como si se tratase de una aplicación real.