Investigadores de Verimatrix descubren a un desarrollador de aplicaciones que lanza malware

Los investigadores de Verimatrix en nuestros Laboratorios VMX han descubierto que todas las aplicaciones fabricadas por Simi Studio que se pueden descargar desde su sitio web contienen malware. El propio sitio web de Simi Studio, así como algunos espejos APK afirman que su aplicación móvil Screen Lock tiene más de 5 millones de descargas, mientras que sus otras dos aplicaciones, Floating Button y Flashlight, parecen presumir de más de 100.000 descargas combinadas.

Las aplicaciones ya no están disponibles en la tienda de aplicaciones de Google, sino a través del sitio web del desarrollador y varios sitios espejo de APK. Hay indicios de que las aplicaciones ya estaban disponibles en la tienda oficial de aplicaciones de Google, pero han sido eliminadas.    

Aunque los principales escáneres de virus clasifican estas aplicaciones como "limpias", Verimatrix XTD ha detectado que realizan ataques de superposición. Un breve análisis utilizando Hybrid Analysis en www.hybrid-analysis.com como Licensor, así como el análisis de Joesandbox, clasifica las aplicaciones como malware.

Los resultados confirman que las aplicaciones tienen los siguientes comportamientos sospechosos:

• Las aplicaciones intentan realizar ataques de superposición a aplicaciones bancarias. Comenzando con una solicitud de permiso a .BIND_ACCESSIBILITY_SERVICE, que es utilizado por el malware para iniciar ataques de superposición.
• Las aplicaciones intentan hacer escalada de privilegios, como solicitar acceso root, intentar instalar nuevos Administradores. 
• La aplicación intenta controlar el WiFi y el Bluetooth, que son signos típicos de propagación. 
• La aplicación controla las llamadas telefónicas, el vídeo y la grabación de audio. 
• La huella digital TLS para las conexiones salientes se alinea con el malware conocido que conecta sus servidores C2.  

El hecho de que este tipo de malware pueda fluir por debajo del radar de los sistemas clásicos de protección de endpoints demuestra la fortaleza de Verimatrix XTD en la supervisión y protección de aplicaciones móviles.