Google ha eliminado de su tienda Google Play ocho aplicaciones que propagaban una nueva variante del programa espía Joker, pero no antes de que ya hubieran acumulado más de 3 millones de descargas.
El investigador de seguridad francés, Maxime Ingrao, de la empresa de ciberseguridad Evina, descubrió un malware que bautizó como Autolycos y que puede suscribir a los usuarios a un servicio premium, así como acceder a los mensajes SMS de los usuarios, según un post que publicó en Twitter la semana pasada. Este tipo de malware -en el que aplicaciones maliciosas suscriben a los usuarios a servicios premium sin su conocimiento o consentimiento para acumular cargos de pago- se denomina malware de fraude de peaje, o más comúnmente, fleeceware.
Ingrao dijo que descubrió ocho aplicaciones en el sitio de difusión de Autolycos desde junio de 2021 que habían acumulado varios millones de descargas. Los ciberdelincuentes detrás de Autolycos están utilizando páginas de Facebook y publicando anuncios en Facebook e Instagram para promover el malware, dijo.
Ingrao comparó el malware con Joker, un software espía descubierto en 2019 que también suscribía secretamente a las personas a servicios premium y robaba mensajes SMS, entre otras actividades nefastas.
Joker fue el primer gran sombrero de familias de malware especializado en fleeceware, según Malwarebytes. El troyano se escondía en los marcos publicitarios utilizados por las aplicaciones maliciosas que lo propagaban; estos marcos agregan y sirven anuncios dentro de la aplicación.
Una vez instaladas las aplicaciones con Joker, mostraban una pantalla «splash», en la que aparecía el logotipo de la aplicación, para despistar a las víctimas mientras realizaban varios procesos maliciosos en segundo plano, como el robo de SMS y listas de contactos, así como la realización de fraudes publicitarios y la inscripción de personas en suscripciones, sin su conocimiento.