Google

Google detalla cómo el malware “Joker” o “Bread” intentó entrar al Google Play ocultando su código malicioso

Cristian Do Carmo Rodríguez
10 de ene. de 2020
2 min de lectura

En cuanto un sistema operativo es popular pasa automáticamente a convertirse en un nido de malware, una afirmación bastante dura que, en el caso de Android, parece cumplirse. Sabemos que Google Play es una fuente segura para descargar apps aunque, de vez en cuando, alguna pase los filtros de Google Play Protect. Hoy Google ha detallado como uno de estos molestos malware, con el nombre de “Joker” o “Bread”, ha intentado de todas las formas posibles entrar en la tienda oficial de aplicaciones de Android.

Entendiendo el problema.

Bread o Joker, como prefiramos llamar a esta amenaza, comenzó a ser rastreado por Google a principios de 2017. Su metodología consiste en el fraude por SMS, lo que popularmente se conoce como SMS Premium. Desde sus orígenes, Android ha evolucionado, lo que obligó a este tipo de amenaza a evolucionar también, intentando todo lo imaginable para pasar los filtros de la tienda de aplicaciones de Google.

Aunque esta amenaza se divide en dos categorías según el método que usa para la estafa, en ambos casos se aprovechan técnicas de facturación móvil que involucran al operador del usuario, como es el caso de los SMS Premium, donde el usuario se da de alta con un SMS en un servicio de pago donde el fraude se realizará a través del operador, sin necesidad de que proporcionemos datos especiales.

En estos casos el operador realiza una verificación del dispositivo, pero no de que sea el usuario quien realiza la acción, Bread consigue engañar al operador para creer que es el usuario quien contrata dichos servicios para así cometer el fraude.

Ocultando sus intenciones.

Aunque pueda parecer sencillo, pasar los filtros del Google Play con código malicioso es cada vez más complicado. Dejando a un lado el procedimiento técnico que los delincuentes han seguido, lo que han tratado de hacer es “disfrazar” el código de multitud de formas, desde encriptándolo a ofuscándolo con código basura intermedio, algo que a juzgar por como han terminado no los ha salido del todo bien.

¿Y qué vería el usuario con una de estas apps maliciosas?

Ejemplo de aplicación con Bread.

Parece que los delincuentes estaban demasiado ocupados tratando de ocultar sus intenciones hasta el punto de que, los que han pillado, no pueden ser considerados unos genios del diseño, con apps simples con botones y textos con contenido dudoso. Incluso cuando hacen referencia a políticas de privacidad, aportando números de teléfono con los que darse de baja de estos servicios fraudulentos, tales números no funcionan.

Para intentar tener una posibilidad, los desarrolladores de apps con este malware intentan en repetidas ocasiones publicar apps en el Google Play con ligeras modificaciones, llegándose a dar picos de 23 aplicaciones diferentes cazadas en un mismo día por los filtros de Google Play.

Como recomendación final, si vas a instalar una aplicación y dudas de que la fuente sea “correcta” es mejor que recurras al Google Play para hacerlo. La mejor prueba de ello es que, algunas de las aplicaciones analizadas por Google con Bread pueden encontrarse aún en páginas externas al Google Play.