Por una tarifa adicional, los ciberdelincuentes pueden ocultar el código de la aplicación para que sea más difícil de detectar por las soluciones de ciberseguridad. Para aumentar la cantidad de descargas de una aplicación maliciosa, los atacantes también ofrecen comprar instalaciones, dirigiendo el tráfico a través de los anuncios de Google y atrayendo a más usuarios para que descarguen la aplicación. Las instalaciones tienen costos diferentes en cada país. El precio promedio es de $0.50 centavos de dólar, con ofertas que van desde $0.10 centavos de dólar hasta varios dólares. En una de las ofertas descubiertas, los anuncios para usuarios de EE. UU. y Australia cuestan más: $0.80 centavos de dólar.
Los estafadores reciben ingresos por sus ‘esfuerzos’ de tres maneras: solicitando parte de la ganancia final, alquilando la app maliciosa, o por la venta completa de una cuenta o amenaza. Algunos vendedores incluso realizan subastas de sus productos, ya que muchos de ellos limitan la cantidad de lotes a la venta. Por ejemplo, el precio inicial de una oferta que encontramos era de $1,500 dólares, con incrementos de $700 dólares en subasta, y el blitz, la compra instantánea por el precio más alto era de $7,000 dólares.
Los vendedores en la Darknet también pueden ofrecer publicar la aplicación maliciosa para el comprador a fin de que este no interactúe directamente con Google Play, pero aun así reciba de forma remota todos los datos detectados de las víctimas. Puede parecer que, en tal caso, el desarrollador engaña fácilmente al comprador, pero es común entre los vendedores en la Darknet preservar y mantener su reputación, prometer garantías o aceptar el pago después de que se hayan completado los términos del acuerdo. Para reducir los riesgos al hacer negocios, los ciberdelincuentes suelen recurrir a los servicios de intermediarios desinteresados, conocidos como “escrow”. El depósito en garantía puede convertirse en un servicio especial y respaldado por una plataforma en la sombra o por un tercero que no esté interesado en los resultados de la transacción.
“Las aplicaciones móviles maliciosas continúan siendo una de las principales amenazas cibernéticas dirigidas a los usuarios, con más de 1.6 millones de ataques móviles detectados en 2022. Al mismo tiempo, la calidad de las soluciones de ciberseguridad que protegen a los usuarios de estos ataques también está aumentando. En la Darknet, encontramos mensajes de ciberdelincuentes quejándose de que ahora les resulta mucho más difícil subir sus aplicaciones maliciosas a las tiendas oficiales. Sin embargo, esto también significa que ahora presentarán esquemas de elusión mucho más sofisticados, por lo que los usuarios deben mantenerse alerta y verificar cuidadosamente qué aplicaciones están descargando”, comenta Alisa Kulishenko, experta en seguridad de Kaspersky.
Para mantenerse a salvo de cualquier amenaza móvil, Kaspersky recomienda:
- Verifica los permisos de las aplicaciones que usas y piensa detenidamente antes de otorgarlos, especialmente cuando se trata de permisos de alto riesgo, como la autorización para usar los Servicios de accesibilidad. Por ejemplo, el único permiso que una aplicación de linterna necesita es para acceder a la linterna (dar acceso a la cámara u otra funcionalidad no es necesario).
- Usa una solución de seguridad confiable para detectar aplicaciones maliciosas y adware antes de que estas afecten tu dispositivo.
- Aunque los usuarios de iPhone cuentan con algunos controles de privacidad proporcionados por Apple, deben bloquear el acceso de las apps a las fotos, contactos y funciones de GPS si creen que esos permisos son innecesarios.
- Actualiza tu sistema operativo y aplicaciones importantes a medida que las actualizaciones estén disponibles. Muchos problemas de seguridad se pueden resolver instalando versiones actualizadas de software.
Para conocer más sobre los servicios de monitoreo de amenazas para su organización, contáctenos en dfi@kaspersky.com.
Encuentra más ejemplos de amenazas para Google Play comercializadas en la Darknet en el informe completo en Securelist.