Harly: otro troyano suscriptor en Google Play
Es común encontrar en la tienda oficial de Google Play todo tipo de malware oculto aparentando ser aplicaciones inofensivas. desgraciadamente, aunque la plataforma cuente con una buena vigilancia, los moderadores no siempre pueden detectar dichas aplicaciones antes de ser publicadas. Una de las variaciones más populares de este tipo de malware son los troyanos suscriptores […]
Es común encontrar en la tienda oficial de Google Play todo tipo de malware oculto aparentando ser aplicaciones inofensivas. desgraciadamente, aunque la plataforma cuente con una buena vigilancia, los moderadores no siempre pueden detectar dichas aplicaciones antes de ser publicadas. Una de las variaciones más populares de este tipo de malware son los troyanos suscriptores que se registran en servicios de pago sin que el usuario lo sepa. Una de las familias más comunes de esta clase de troyanos es el grupo parecido a Jocker, el troyano suscriptor, y es por esto que lo han nombrado Harly (con unos leves cambios en la escritura) como la compañera de este famoso villano de cómic. Es probable que ambos troyanos tengan similitudes en sus orígenes.
La verdad sobre los troyanos Harly
Desde 2020, más de 190 aplicaciones infectadas con Harly han sido encontradas en Google Play. Se estima que el número de descargas de dichas aplicaciones es de 4,8 millones, pero la cifra real puede ser aún mayor.
Así como sucede con los troyanos Jocker, los troyanos de la familia Harly imitan aplicaciones legítimas. ¿Cómo funcionan? Los estafadores descargan aplicaciones corrientes que se encuentran en Google Play, insertan código malicioso en ellas para después volverlas a subir a Google Play con un nombre distinto. Estas apps, en ocasiones, además de contener código malicioso, cuentan también con las características enumeradas en la descripción, por lo que es posible que los usuarios no sospechen ni piensen que son una amenaza.
La mayoría de los miembros de la familia Jocker son descargadores de varias etapas: reciben la carga útil de los servidores C&C de los estafadores. Por el contrario, los troyanos de la familia Harly contienen toda la carga útil dentro de la aplicación y utilizan diferentes métodos para descifrarla y ejecutarla.
Cómo funciona el troyano suscriptor Harly
Tomemos como ejemplo una aplicación llamada com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), una aplicación de linterna que en Google Play cuentan con más de 10.000 descargas.
Cuando se inicia la aplicación, se carga una biblioteca sospechosa:
La biblioteca descifra el archivo con los recursos de la aplicación.
Curiosamente, los creadores de malware aprendieron a usar los lenguajes de programación Go y Rust, pero de momento sus habilidades se limitan a descifrar y cargar el Kit de Desarrollo de Software (SDK) malicioso.
Como sucede con otros troyanos suscriptores, Harly recopila información sobre el dispositivo del usuario y sobre la red móvil en particular. El teléfono del usuario cambia a una red móvil y luego el troyano le pide al servidor C&C que configure la lista de suscripciones a las que debe registrarse.
Este troyano funciona solo con operadores tailandeses, por lo que primero verifica los MNC (códigos de red móvil), identificadores únicos de los operadores de red, para asegurarse de que sean tailandeses:
No obstante, para la comprobación del MNC, utiliza el código de China Telecom: 46011. Esta y otras pistas sugieren que los desarrolladores del malware están ubicados en China.
El troyano abre la dirección de la suscripción en una ventana invisible y, al inyectar secuencias de comandos JS, introduce el número telefónico del usuario, presiona los botones necesarios e introduce el código de confirmación del mensaje de texto. Al final, el usuario adquiere una suscripción de pago sin siquiera percatarse.
Otra característica importante de este troyano es que puede suscribirse no solo cuando el proceso está protegido por un código que se recibe mediante un mensaje de texto, sino también cuando está protegido mediante una llamada. En este último caso, el troyano llama a un número concreto y confirma la suscripción.
Nuestros productos detectan las aplicaciones maliciosas que hemos descrito en este artículo como son: Trojan.AndroidOS.Harly y Trojan.AndroidOS.Piom.
Cómo protegerse frente a los troyanos suscriptores
Las tiendas de aplicaciones oficiales luchan continuamente contra la propagación de malware pero, no ya vimos, no siempre lo logran exitosamente. Antes de instalar una aplicación, te recomendamos que leas las reseñas de los usuarios y verifiques su calificación en Google Play. No obstante, ten en cuenta que las reseñas y calificaciones pueden ser falsas. Para tenerlo todo cubierto y evitar ser víctima de este tipo de malware, te recomendamos instalar una solución de seguridad de confianza.
Artículo redactado por los especialistas de Kasperki que nos ayudan a mantener la seguridad informática de la Unión Argentina.