Un nuevo ‘malware’ para Android añade sal a la herida al hacer los usuarios pagan por la aplicación que posteriormente les robará sus datos.
Palo Alto Networks encontró tres variantes de este software malicioso, llamado Gunpoder, que se hacen pasar por aplicaciones de emulación para juegos de Nintendo.
Los antivirus están teniendo problemas para detectar el código malicioso de Gunpoder ya que se ha configurado con una librería de programación de ‘adware’ llamada Airpush, según escribió Cong Zheng Zhi Xu, miembro de la Unidad 42 grupo de investigación de Palo Alto.
“Las muestras de malware utilizan con éxito estas librerías de publicidad para ocultar comportamientos maliciosos usualmente detectados por los antivirus“, escribe Zheng Zhi Xu. “Mientras que los motores antivirus pueden etiquetar a Gunpoder como adware, no lo marcan directamente como programa malicioso, por lo que la mayoría de programas antivirus no impide la ejecución de Gunpoder”.
Las Apps Gunpoder tienen una variedad de acciones invasivas, incluyendo la recolección de los marcadores o favoritos y el historial del navegador. También puede enviarse a otras personas a través de SMS, mostrar anuncios fraudulentos y ejecutar otros códigos.
Y lo peor: los usuarios llegan a pagar por esa capacidad de robo de datos. Cuando se inicia una aplicación Gunpoder, se pide a los usuarios a comprar una licencia de por vida para el emulador de US USD 0,20 o USD 0,49, cantidad que es posible pagar por medio de PayPal o Moneybookers.
Hasta el momento, Gunpoder parece estar destinada a los usuarios de Irak, Tailandia, India, Indonesia, Sudáfrica, Rusia, Francia, México, Brasil, Arabia Saudita, Italia, EE.UU. y España, asegura Palo Alto Networks. Sin embargo, esto no implica que este programa malicioso no pueda propagarse hacia otros países.
Curiosamente, el malware está programado para no enviar SMS a números de la lista de contactos de un teléfono si el usuario se encuentra en China.
Sus programadores también han cooptado la librería de programación de publicidad de Airpush con un anuncio fraudulento. “El anuncio fraudulento intenta imitar una página de Facebook que solicita que las víctimas lelnar una serie de encuestas y les pide instalar varias aplicaciones con el fin de recibir un regalo”.