Ha sido la firma de seguridad Kaspersky la encargada de anunciarlo y de decir que todas las apps juntas tienen cerca de 5 millones de descargas. Según los investigadores, las apps eran muy variadas: unas que sirven como linternas hasta minijuegos y fueron apareciendo en la tienda oficial de aplicaciones de Google a lo largo de los últimos dos años.
Este malware ha sido bautizado como Harly y la firma de seguridad lo asemeja a Joker, que lleva más de cinco años eludiendo los controles de Androi y se saben de decenas de apps que se han encontrado en Google Play.
Curiosamente, los creadores de malware aprendieron a usar los lenguajes de programación Go y Rust, pero de momento sus habilidades se limitan a descifrar y cargar el Kit de Desarrollo de Software (SDK) malicioso, según los descubrimientos de Kaspersky.
-¿Cómo funciona?
Lo que se ha visto es que un usuario abre una aplicación y el troyano ya tiene la capacidad de recopilar información sobre su dispositivo. Los estafadores descargan apps, insertan código malicioso en aplicaciones que parecen herramietnas corrientes y luego las vuelven a subir a Google Play con otro nombre.
A veces, estas aplicaciones, además de contener código malicioso, también ofrecen el servicio que prometen, por lo que es posible que los usuarios no sospechen de ellas ni las consideren una amenaza. Desde 2020, se han encontrado en Google Play más de 190 aplicaciones infectadas con Harly.
La mayoría de los miembros de la familia Jocker son descargadores de varias etapas: reciben la carga útil de los servidores C&C de los estafadores. Los troyanos de la familia Harly, por el contrario, contienen toda la carga útil dentro de la aplicación y utilizan diferentes métodos para descifrarla y ejecutarla.
Harly recopila información sobre el dispositivo del usuario y, en particular, sobre la red móvil. El teléfono del usuario cambia a una red móvil y luego el troyano le pide al servidor C&C que configure la lista de suscripciones a las que debe registrarse.
El troyano abre la dirección de la suscripción en una ventana invisible y, al inyectar secuencias de comandos JS, introduce el número de teléfono del usuario, presiona los botones necesarios e introduce el código de confirmación del mensaje de texto. Al final, el usuario adquiere una suscripción de pago sin darse cuenta.
Tomemos como ejemplo una aplicación llamada com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), una aplicación de linterna que tiene más de 10.000 descargas en Google Play.