Los expertos de Kaspersky que analizan las ofertas de aplicaciones maliciosas en Google Play para su venta en la Dark Web, encontraron que los ciberdelincuentes venden aplicaciones móviles maliciosas y cuentas de desarrollador de la tienda hasta por 20.000 dólares.
Los investigadores, usando Kaspersky Digital Footprint Intelligence, recopilaron ejemplos de nueve foros en la Dark Web que se utilizan para vender y comprar malware. El informe arroja luz sobre como las aplicaciones vendidas en dichos foros se encuentran en Google Play, y también revela cómo se hacen los acuerdos entre ciberdelincuentes.
Aunque las tiendas oficiales de aplicaciones se controlen rigurosamente, los servicios de moderación no siempre detectan las aplicaciones maliciosas antes de que estén disponibles al público. Cada año, se eliminan una gran cantidad de aplicaciones solo luego de que los usuarios hayan sido infectados.
Al igual que en cualquier foro de venta de productos, también existen diversas ofertas en la Dark Web para diferentes necesidades y clientes con distintos presupuestos. Para publicar una aplicación maliciosa, los ciberdelincuentes necesitan una cuenta de Google Play y un código de descarga malicioso.
Una cuenta de desarrollador puede comprarse a bajo precio, por 200 dólares y a veces incluso por tan sólo 60 dólares. El coste de los cargadores maliciosos oscila entre 2.000 y 20.000 dólares, dependiendo de la complejidad del malware, la novedad y prevalencia del código malicioso, así como de las funciones adicionales.
Características de las aplicaciones maliciosas
En la mayoría de los casos, el malware malicioso se oculta bajo la fachada de aplicaciones de criptomonedas, aplicaciones financieras, escáneres de códigos QR y hasta aplicaciones de citas. Los ciberdelincuentes también destacan cuántas descargas tiene la versión legítima de esa aplicación, lo que significa cuántas víctimas potenciales pueden infectarse actualizando la aplicación y añadiéndole código malicioso.
Por un precio adicional, los ciberdelincuentes pueden ofuscar el código de la aplicación para dificultar su detección por parte de las soluciones de ciberseguridad. Para aumentar el número de descargas de una aplicación maliciosa, los atacantes también ofrecen comprar instalaciones, dirigiendo el tráfico a través de anuncios y atrayendo a más usuarios para que descarguen la aplicación.
Los estafadores ofrecen tres tipos de trabajo: por una parte del beneficio final, alquiler y compra completa de una cuenta o una amenaza. Algunos vendedores incluso organizan subastas para vender sus productos, ya que muchos limitan el número de lotes vendidos.
Los vendedores de la Dark Web también ofrecen publicar la aplicación maliciosa para el comprador, de modo que no interactúen directamente con Google Play, por lo que reciben a distancia todos los datos detectados de las víctimas. Puede parecer que en un caso así el desarrollador puede engañar fácilmente al comprador, pero es habitual entre los vendedores de la Darknet preservar y mantener su reputación, prometer garantías o aceptar el pago una vez cumplidos los términos del acuerdo.
Para reducir los riesgos a la hora de hacer tratos, los ciberdelincuentes suelen recurrir a los servicios de intermediarios desinteresados, conocidos como «escrow». El «escrow» puede apoyarse en una plataforma en la sombra, o en un tercero que no esté interesado en los resultados de la transacción.