Check Point encontrado una vulnerabilidad en 206 aplicaciones de Google Play Store, las cuales cuentan con cerca de 150 millones de descargas. Conocida como “SimBad” debido a que la mayoría de las aplicaciones infectadas son simuladores (juegos), esta vulnerabilidad provoca una campaña masiva de adware móvil por medio del cual se muestran innumerables anuncios fuera de la aplicación sin que exista posibilidad de desinstalar dichas aplicaciones.
“Los dispositivos móviles se están convirtiendo en los últimos tiempos en el principal foco de los ataques de los ciberdelicuentes. Casi 6 de cada 10 empresas no han implementado soluciones de seguridad móvil capaces de detectar amenazas como el malware móvil, aplicaciones falsas o maliciosas, ataques man-in-the-middle y vulnerabilidades de sistema”, señala Eusebio Nieva, director técnico de Check Point para España y Portugal. “Estos datos ponen de manifiesto la necesidad que tienen las empresas para poder proteger sus dispositivos ante amenazas de este tipo”, añade Nieva.
Índice de temas
¿Cómo funciona SimBad?
Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Gracias a su habilidad para abrir una URL en un navegador, el criminal detrás de este ataque puede generar páginas de phishing para diversas plataformas y abrirlas en un navegador. De esta forma, el cibercriminal lleva a cabo ataques de spear-phishing.
Por otra parte, debido a su habilidad para abrir aplicaciones en Google Play o 9Apps a través de una búsqueda mediante un determinada palabra clave o incluso en la propia página de la aplicación, el atacante puede aumentar sus beneficios ofreciendo acceso a otras potenciales amenazas. Asimismo, gracias a esto el atacante puede instalar una aplicación para uso en remoto desde un servidor asignado, pudiendo así instalar nuevos elementos de malware cuando sea necesario.
Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicacione
Las aplicaciones infectadas presentan una característica común: todas utilizan un Kit de Desarrollo de Software (en inglés, SDK) malicioso para llevar a cabo estas operaciones. Aunque existen SDKs cuyo objetivo es obtener rédito económico de las aplicaciones para móviles, los desarrolladores de videojuegos han elegido un SDK que les permite bombardear a los usuarios con una enorme cantidad de anuncios, lo que les permite aumentar sus ingresos.
Las aplicaciones infectadas muestran las siguientes características:
- Muestran anuncios fuera de las aplicaciones. Por ejemplo, cuando los usuarios desbloquean el teléfono o abren otras aplicaciones
- Abren constantemente tanto Google Play como 9Apps Store y redireccionan a otra aplicación con el objetivo de aumentar sus beneficios por la instalación de otras aplicaciones
- Para evitar ser desinstaladas, las aplicaciones esconden al launcher su icono de inicio de aplicación
- Abren un navegador con enlaces generados por el desarrollador de la aplicación
- Descargan archivos APK y piden al usuario que los instale
- Búsqueda de palabras en Google Play propuestas por la aplicación
Cómo resolver la infección
Los usuarios que hayan sido infectados por aplicaciones como las incluidas en SimBad, deben seguir los siguientes pasos:
Android:
- Acceder al Menú de Ajustes
- Hacer click en Apps o en el Gestor de Aplicaciones
- Ir hasta la aplicación sospechosa y desinstalarla
- Si no se encuentra, borrar todas las aplicaciones instaladas recientemente
iPhone:
- Acceder al Menú de Ajustes
- Ir a ‘Safari’
- En la lista de opciones, asegurarse de que “bloquear pop-ups” está seleccionada
- Después ir a “Avanzado” -> “Datos Website”
- Borrar todas las páginas que no sean conocidas