A la hora de propagar sus amenazas dirigidas a dispositivos Android, los delincuentes suelen elegir tácticas sobradamente conocidas pero que aún resultan muy efectivas. La mayoría intenta hacer pasar sus aplicaciones maliciosas por otras legítimas, usando para ello el nombre de empresas reconocidas para que los usuarios bajen la guardia.
En esta ocasión y gracias al aviso del investigador MalwareHunterTeam, comprobamos como la app maliciosa se hace pasar por un instalador del conocido navegador de Internet Google Chrome. Este tipo de aplicaciones pueden utilizar enlaces incluidos en mensajes SMS o redirecciones desde sitios webs previamente comprometidos para realizar la descarga en el dispositivo de la víctima.
A la hora de descargar el instalador de esta aplicación maliciosa vemos que los delincuentes están utilizando el CDN, o red de entrega de contenido, de la conocida plataforma Discord. El uso de Discord para alojar malware es una tendencia que se viene observando desde hace tiempo y que utilizan muchos grupos de delincuentes para alojar todo tipo de amenazas porque, al tratarse de un servicio legítimo, es muy probable que no se encuentre en las listas negras usadas para bloquear la descarga de contenido potencialmente peligroso desde direcciones catalogadas como maliciosas.
Funcionamiento del malware
Al descargar y analizar esta app maliciosa, observamos varias cosas interesantes. Lo primero es que la última modificación se realizó apenas unas horas antes de que fuera detectada por primera vez, por lo que estaríamos ante una campaña de propagación de esta amenaza que se encontraría en su fase inicial. También el nombre del fichero, “chromeparaespana.apk”, apunta a que los objetivos de esta campaña son, principalmente, usuarios españoles de Android, por lo que estaríamos, una vez más, ante una campaña dirigida a usuarios de un país en concreto.
