Recientemente, el equipo de investigación de McAfee Mobile identificó un nuevo malware Clicker que se coló en Google Play. Se ha confirmado que un total de 16 aplicaciones que anteriormente estaban en Google Play tienen la carga útil maliciosa con un supuesto de 20 millones de instalaciones.

«Los investigadores de seguridad de McAfee notificaron a Google y todas las aplicaciones identificadas ya no están disponibles en Google Play» indica el artículo publicado en el portal de McAfee esta semana. Los usuarios también están protegidos por Google Play Protect, que bloquea estas aplicaciones en Android. Los productos de McAfee Mobile Security detectan esta amenaza como Android/Clicker y lo protegen del malware. Para obtener más información y obtener una protección completa, visite McAfee Mobile Security

¿Cómo funciona?

Una vez abierta la aplicación, descarga su configuración remota ejecutando una solicitud HTTP. Después de descargar la configuración, registra el agente de escucha de FCM (Firebase Cloud Messaging) para recibir mensajes push. A primera vista, parece un software de Android bien hecho. Sin embargo, oculta características de fraude publicitario, armado con configuración remota y técnicas FCM.

El mensaje FCM tiene varios tipos de información y eso incluye qué función llamar y sus parámetros. La siguiente imagen muestra parte del historial de mensajes de FCM.

Cuando un mensaje FCM recibe y cumple alguna condición, la función latente comienza a funcionar. Principalmente, se trata de visitar sitios web que se entregan mediante un mensaje de FCM y navegar por ellos sucesivamente en segundo plano mientras se imita el comportamiento del usuario. Esto puede causar un tráfico pesado en la red y consumir energía sin que el usuario sea consciente durante el tiempo que genera ganancias para el actor de amenazas detrás de este malware. En la imagen a continuación, hay un ejemplo del tráfico de red generado para obtener la información requerida para generar clics falsos y los sitios web visitados sin el consentimiento o la interacción del usuario.

El código malicioso se encontró en aplicaciones de utilidad útiles como Flashlight (Torch), lectores QR, Camara, convertidores de unidades y administradores de tareas.

Aquí está la lista completa de aplicaciones afectadas:

• BusanBus (com.kmshack. BusanBus)
• Currency Converter (com.smartwho. SmartCurrencyConverter)
• EzDica (com.joysoft.ezdica)
• EzNotes (com.meek.tingboard)
• Flashlight+ (com.candlencom.candleprotest)
• Flashlight+ (com.dev.imagevault)
• Flashlight+ (kr.caramel.flash_plus)
• High-Speed Camera (com.hantor. CozyCamera)
• Instagram Profile Downloader (com.schedulezero.instapp)
• Joycode (com.joysoft.barcode)
• K-Dictionary (com.joysoft.wordBook)
• Quick Note (com.movinapp.quicknote)
• Smart Task Manager (com.james. SmartTaskManager).