ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una nueva técnica, muy sigilosa pero muy simple, que permite al malware para Android permanecer oculto. En el análisis llevado a cabo por los investigadores de ESET sobre la aplicación Defensor ID, que estaba disponible en la tienda oficial de aplicaciones de Android, se descubrió que la app hacía un uso inadecuado de los Servicios de Accesibilidad sin requerir de otros permisos sospechosos ni tener otras funciones maliciosas.
“Se sabe que la función de Servicios de Accesibilidad es uno de los talones de Aquiles del sistema operativo Android y, por ello, las soluciones de seguridad están preparadas para detectar combinaciones de usos sospechosos de este servicio junto con otros comportamientos maliciosos”, explica Lukas Stefanko, responsable en ESET de la investigación sobre Defensor ID.
Cuando se encontraban con el malware, los mecanismos de seguridad fallaban en su respuesta al no encontrar otras funcionalidades adicionales o permisos sospechosos más allá de las acciones llevadas a cabo en los Servicios de Accesibilidad. Por ello, Defensor ID pudo colarse y permanecer durante meses en Google Play sin ser detectada por ninguno de los fabricantes de seguridad que participan en el programa VirusTotal.
“Hemos aprendido una lección muy valiosa. Hemos mejorado nuestras tecnologías de detección, basándonos en la experiencia que hemos tenido con Defensor ID, para cubrir un tipo de malware con una tasa de detección bastante baja”, continua Stefanko.
Además de tratarse de un malware muy sigiloso, Defensor ID es capaz de provocar daños importantes en las víctimas. Pertenece a la categoría de malware de troyanos bancarios y es excepcionalmente perjudicial, ya que, una vez instalado, solo necesita una acción por parte de la víctima para desplegar su potencial.
“En cuanto el usuario activa los Servicios de Accesibilidad, Defensor ID puede acceder y vaciar la cuenta bancaria de la víctima o su cartera de criptomonedas y apropiarse de la cuenta de correo o de las redes sociales, entre otras acciones”, añade Stefanko.
Después de que ESET avisara a Google, Defensor ID fue eliminada de la tienda de aplicaciones Android. “Decidimos publicar los resultados de nuestra investigación sobre este malware para ayudar a la industria a tratar con este tipo de amenazas. A partir de ahora, los desarrolladores de este malware tendrán más complicado acceder a Google Play y a los dispositivos de los usuarios”, concluye Stefanko.
Para conocer más detalles de la investigación, se puede visitar el blog de ESET.