1 millón de dispositivos Android de terceros tienen una puerta trasera secreta para estafadores

Los investigadores de múltiples empresas dicen que la campaña parece provenir de un ecosistema de grupos de fraude libremente conectado en lugar de un solo actor. Cada grupo tiene sus propias versiones de los módulos Badbox 2.0 Backdoor y Malware y distribuye el software de varias maneras. En algunos casos, las aplicaciones maliciosas vienen preinstaladas en dispositivos comprometidos, pero en muchos ejemplos que los investigadores rastrearon, los atacantes están engañando a los usuarios para que instalen sin saberlo las aplicaciones comprometidas.

Los investigadores destacan una técnica en la que los estafadores crean una aplicación benigna, por ejemplo, un juego, lo poseen en la tienda Play Store de Google para mostrar que ha sido examinado, pero luego engañan a los usuarios para que descarguen versiones casi idénticas de la aplicación que no están alojadas en tiendas de aplicaciones oficiales y son maliciosas. Tales aplicaciones de "gemelo malvado" aparecieron al menos 24 veces, dicen los investigadores, permitiendo a los atacantes ejecutar fraude publicitario en las versiones de Google Play de sus aplicaciones y distribuir malware en sus aplicaciones impostor. Human también descubrió que los estafadores distribuyeron más de 200 versiones comprometidas y reanudadas de aplicaciones populares y convencionales como otra forma de difundir sus puertas traseras.

"Vimos cuatro tipos diferentes de módulos de fraude, dos fraude publicitarios, uno falso de clic uno y luego la red de proxy residencial, pero es extensible", dice Lindsay Kaye, vicepresidente de inteligencia de amenazas de Human. "Así que puedes imaginar cómo, si el tiempo hubiera pasado y pudieran desarrollar más módulos, tal vez forjar más relaciones, existe la oportunidad de tener otras adicionales".

Investigadores de la firma de seguridad Trend Micro colaboraron con humanos en la investigación de Badbox 2.0, particularmente centrándose en los actores detrás de la actividad.

"La escala de la operación es enorme", dice Fyodor Yarochkin, un investigador de amenazas senior de tendencia. Agregó que si bien hay "fácilmente hasta un millón de dispositivos en línea" para cualquiera de los grupos, "esto es solo una serie de dispositivos que actualmente están conectados a su plataforma. Si cuenta todos los dispositivos que probablemente tendrían su carga útil, probablemente superaría unos pocos millones ".

Yarochkin agrega que muchos de los grupos involucrados en las campañas parecen tener alguna conexión con las empresas de publicidad y marketing de mercado gris chino. Hace más de una década, explica Yarochkin, hubo múltiple legal casos en China en el que las empresas habían instalado complementos "silenciosos" en dispositivos y los usaron para una variedad diversa de actividades aparentemente fraudulentas.

"Las compañías que básicamente sobrevivieron a esa edad de 2015 fueron las compañías que se adaptaron", dice Yarochkin. Señala que sus investigaciones ahora han identificado múltiples "entidades comerciales" en China que parecen estar vinculadas a algunos de los grupos involucrados en Badbox 2. Las conexiones incluyen enlaces económicos y técnicos. "Identificamos sus direcciones, hemos visto algunas fotos de sus oficinas, tienen cuentas de algunos empleados en LinkedIn", dice.

Human, Trend Micro y Google también colaboraron con el servidor de sombras del grupo de seguridad de Internet para neutrar la mayor infraestructura de Badbox 2.0 como sea posible sin sumergir la botnet para que esencialmente envíe su tráfico y solicitudes de instrucciones a un vacío. Pero los investigadores advierten que después de que los estafadores giraron después de las revelaciones sobre el esquema original de Badbox, es poco probable que la exposición de Badbox 2.0 finalice permanentemente la actividad.

"Como consumidor, debe tener en cuenta que si el dispositivo es demasiado barato para ser cierto, debe estar preparado para que pueda haber algunas sorpresas adicionales ocultas en el dispositivo", dice Yarochkin de Trend Micro. "No hay queso gratis a menos que el queso esté en una trampa para ratones".