Es común encontrar en la tienda oficial de Google Play todo tipo de malware oculto bajo la apariencia de aplicaciones inofensivas. Por desgracia, incluso aunque la plataforma cuente con una buena vigilancia, los moderadores no siempre pueden detectar estas aplicaciones antes de que se publiquen.
Una de las variaciones más populares de este tipo de malware son los troyanos suscriptores que se registran en servicios de pago sin el conocimiento del usuario.
Ya hemos escrito anteriormente acerca de las familias más comunes de este tipo de troyanos, y, en este post, te vamos a hablar sobre otro de ellos. Se trata de uno similar al troyano suscriptor Jocker, por eso le han puesto el nombre de Harly, el nombre (ligeramente cambiado) de la compañera de este famoso villano de cómic. Probablemente, los dos troyanos tienen orígenes comunes.
La verdad sobre los troyanos Harly
Desde 2020, se han encontrado en Google Play más de 190 aplicaciones infectadas con Harly. Se estima que el número de descargas de estas aplicaciones es de 4,8 millones, pero la cifra real puede ser aún mayor.
Al igual que sucede con los troyanos Jocker, los troyanos de la familia Harly imitan aplicaciones legítimas. ¿Y cómo funciona? Los estafadores descargan aplicaciones corrientes que se encuentran en Google Play, insertan código malicioso en ellas y luego las vuelven a subir a Google Play con otro nombre. A veces, estas aplicaciones, además de contener código malicioso, también cuentan con las características que se enumeran en la descripción, por lo que es posible que los usuarios no sospechen de ellas ni las consideren una amenaza.
La mayoría de los miembros de la familia Jocker son descargadores de varias etapas: reciben la carga útil de los servidores C&C de los estafadores. Los troyanos de la familia Harly, por el contrario, contienen toda la carga útil dentro de la aplicación y utilizan diferentes métodos para descifrarla y ejecutarla.
Cómo funciona el troyano suscriptor Harly
Tomemos como ejemplo una aplicación llamada com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), una aplicación de linterna que tiene más de 10.000 descargas en Google Play.
Cuando se inicia la aplicación, se carga una sospechosa biblioteca:
La biblioteca descifra el archivo con los recursos de la aplicación.
Curiosamente, los creadores de malware aprendieron a usar los lenguajes de programación Go y Rust, pero de momento sus habilidades se limitan a descifrar y cargar el Kit de Desarrollo de Software (SDK) malicioso.
Como ocurre con otros troyanos suscriptores, Harly recopila información sobre el dispositivo del usuario y, en particular, sobre la red móvil. El teléfono del usuario cambia a una red móvil y luego el troyano le pide al servidor C&C que configure la lista de suscripciones a las que debe registrarse.
Este troyano en particular funciona solo con operadores tailandeses, por lo que primero verifica los MNC (códigos de red móvil), identificadores únicos de los operadores de red, para asegurarse de que sean tailandeses:
Sin embargo, para la comprobación del MNC, utiliza el código de China Telecom: 46011. Esta, junto a otras pistas, sugieren que los desarrolladores de malware se encuentran en China.
El troyano abre la dirección de la suscripción en una ventana invisible y, al inyectar secuencias de comandos JS, introduce el número de teléfono del usuario, presiona los botones necesarios e introduce el código de confirmación del mensaje de texto.
Al final, el usuario adquiere una suscripción de pago sin darse cuenta.
Otra característica importante de este troyano es que puede suscribirse no solo cuando el proceso está protegido por un código que se recibe mediante un mensaje de texto, sino también cuando está protegido mediante una llamada telefónica. En este último caso, el troyano llama a un número concreto y confirma la suscripción.
Nuestros productos detectan las aplicaciones maliciosas que hemos descrito en este artículo como son: Trojan.AndroidOS.Harly y Trojan.AndroidOS.Piom.
Cómo protegerse frente a los troyanos suscriptores
Las tiendas de aplicaciones oficiales luchan continuamente contra la propagación de malware pero, como hemos visto, no siempre con éxito. Antes de instalar una aplicación, te recomendamos que leas las reseñas de los usuarios y verifiques su calificación en Google Play. Sin embargo, ten en cuenta que las reseñas y calificaciones pueden no ser reales. Para tenerlo todo cubierto y evitar ser víctima de este tipo de malware, te recomendamos instalar una solución de seguridad de confianza.