Ciberdelincuentes que impulsan al troyano bancario de Android Svpeng se están aprovechando de un error que les permite forzar la descarga de software malicioso sobre dispositivos Android sin la interacción de usuarios, otros distribuidores de software malicioso podrían pronto unirse.

¿Cómo se desarrolla el ataque-

Quienes impulsan Svpeng han estado usando AdSense para entregar software malicioso: crearon anuncios malintencionados que incluyen código JavaScript, el cual contiene el archivo APK (dividido en bloques) y lo guarda en el dispositivo destino.

"Cuando el archivo APK es descargado a través de un enlace que conduce a un sitio web externo, el navegador despliega una advertencia de que se está descargando un objeto potencialmente peligroso y le pide al usuario que elija si se guarda o no el archivo", explicaron los investigadores.

"Cuando un archivo APK se descompone en piezas y se entrega a la función de guardar a través de la clase Blob(), no hay comprobación para el tipo de contenido que se guarda, entonces los navegadores almacenan el archivo APK sin notificar al usuario."

Este truco solo funciona en Google Chrome.

También es bueno tener en cuenta que el software malicioso se descarga automáticamente, pero el usuario todavía tiene que instalarlo. Con el fin de facilitar el último paso, los delincuentes hacen que parezca una serie de aplicaciones populares y actualizaciones importantes (Instagram, VKontakte, Skype, WhatsApp, actualizaciones de Chrome, etcétera).

"En las últimas versiones de Android, la instalación de aplicaciones descargadas de fuentes desconocidas está bloqueada de forma predeterminada, pero ciberdelincuentes están obviamente contando con usuarios que desactivan esta configuración para instalar una 'actualización importante del navegador' o una versión más reciente de una aplicación popular que ya está en su teléfono", indicaron los investigadores.