Investigadores de seguridad han descubierto una nueva campaña de adware en Google Play. Esta variedad particular de Adware se encontró en 206 aplicaciones, y el recuento combinado de descargas ha alcanzado casi 150 millones.
El malware reside en el kit de desarrollo de software (SDK) de nombre 'RXDrioder', que se proporciona mediante 'addroider[.]com' como un SDK relacionado con anuncios. Se estima que se engañó a los desarrolladores para que usaran este SDK malicioso, desconociendo su contenido, lo que lleva al hecho de que esta campaña no estaba dirigida a un objetivo en específico. El malware se ha denominado 'SimBad' debido a que una gran parte de las aplicaciones infectadas son juegos de simuladores.
Una vez que el usuario descarga e instala una de las aplicaciones infectadas, 'SimBad' se registra en los intentos 'BOOT_COMPLETE' y 'USER_PRESENT', que le permiten a 'SimBad' realizar acciones después de que el dispositivo haya terminado de iniciarse y mientras el usuario está usando su dispositivo respectivamente.
Después de la instalación, el malware se conecta al servidor de Comando y Control (C2) asignado y recibe un comando para iniciarse. 'SimBad' tiene capacidades que se pueden dividir en tres grupos: mostrar anuncios, phishing y exposición a otras aplicaciones. Con la capacidad de abrir una URL determinada en un navegador, el atacante detrás de 'SimBad' puede generar páginas de phishing para múltiples plataformas y abrirlas en un navegador.
Google recibió el comunicado y eliminó las aplicaciones infectadas inmediatamente de su tienda. Para comprobar si tienes una app infectada por este adware revisa el listado completo de las aplicaciones en el link de referencia.
REFERENCIA
COMENTARIOS