¿Cómo se infectan las aplicaciones de Play Store con malware?

Navega tus respuestas
3

Acabo de leer sobre el malware Xavier que aparentemente ha "infectado" algunas aplicaciones en Google Play Store.

Como de costumbre, cuando hay noticias como esta, se reducen a un nivel con el que la mayoría de las personas se pueden relacionar, usando términos como "infectado con", etc. Algunos periódicos hacen que parezca que hay un virus desatado en el Play Store, "infectando" las aplicaciones una por una, ¡lo cual encuentro altamente improbable! El artículo al que me vinculé parece indicar que el malware es en realidad una biblioteca de anuncios de terceros utilizada por las aplicaciones afectadas.

Yo mismo soy un desarrollador y realmente no entiendo cómo una aplicación puede ser "infectada por" una biblioteca. Una biblioteca es algo que elige activamente incluir en su aplicación porque proporciona la funcionalidad que desea. ¿Quieren decir que el creador de la biblioteca incluyó a propósito un código malicioso en su biblioteca de anuncios, o fue la biblioteca "infectada" de algún modo por algún actor desconocido?

    
pregunta Magnus W 16.06.2017 - 16:40
fuente

2 respuestas

1

Aquí hay un enlace al análisis que Trend Micro hace de él. Parece que la biblioteca se usa intencionalmente en las aplicaciones en lugar de que estén "infectadas". Creo que el propósito principal de las aplicaciones es entregar el malware.

En el artículo, lo que más me sorprende es lo siguiente: "... viene con un comportamiento malicioso incorporado que descarga códigos de un servidor remoto, luego lo carga y lo ejecuta. En segundo lugar, es excelente. longitudes para protegerse de ser detectadas mediante el uso de métodos como el cifrado de cadenas, el cifrado de datos de Internet y la detección de emuladores ".

Tres cosas que lo hacen peligroso: 1.) Puede cifrar el tráfico entre él y su comando & servidores de control. 2.) Puede descargar y ejecutar código desde dichos servidores. 3.) Evade la detección. El hecho de que pueda descargar y ejecutar código de forma remota (piense: actualizaciones que cambian su comportamiento), encripta su tráfico para que nadie sepa lo que envía, y trata de evadir la detección. Dígame que está diseñado para hacer algo más infeliz más tarde. / p>

enlace

    
respondido por el GroundRat 16.06.2017 - 17:00
fuente
0

En este caso particular, Xavier fue desarrollado exclusivamente para ser una biblioteca de anuncios maliciosos. Sobre todo, porque es demasiado sofisticado para ser una biblioteca secuestrada, ya que tiene demasiados niveles de protección de detección y un enfoque elaborado. Su principal amenaza es la capacidad de ejecutar comandos remotos y descargar / ejecutar código de forma remota.

Sólo se recomiendan bibliotecas de anuncios de confianza. Siempre puede hacer una investigación exhaustiva antes de usar las bibliotecas en general, para confirmar o negar sus sospechas de que es malicioso.

Un "poco" de un tiro largo aquí. Otra forma de infección es el phishing. Últimamente, con Chrome y otros complementos dirigidos por phishers, los desarrolladores de aplicaciones también están siendo atacados. Aunque requiere un conocimiento bastante sofisticado acerca de la aplicación y las tecnologías utilizadas para hacerlo, siempre se puede enviar una actualización maliciosa.

    
respondido por el Josh Ross 16.08.2017 - 10:21
fuente

Lea otras preguntas en las etiquetas

¿Por qué la entropía del ID de sesión solo sería la mitad de la longitud del ID de sesión? Implicaciones de seguridad de un SCSV faltante, pero solo con TLS 1.2 permitido