Seguridad TI

Apps y juegos infantiles infectados con el malware Tekya

Investigadores de Check Point alertan de que han identificado una nueva familia de malware denominado Tekya que se encontraba disponible en 56 aplicaciones y que ha sido descargado en torno a un millón de veces en todo el mundo.

Cabe destacar que 24 de las aplicaciones (entre las que se encontraban rompecabezas, juegos de carreras, etc.) estaban dirigidas al público infantil, mientras que el resto eran aplicaciones de uso general (aplicaciones de cocina, traductores, etc.).

Este nuevo suceso se produce tan sólo un mes después de que los investigadores de la compañía descubriesen que el malware Haken, que se encontraba en 8 aplicaciones maliciosas diferentes, había sido descargado e instalado en más de 50.000 dispositivos Android.

Esta nueva familia de malware, conocido como Tekya, es un adclicker, una ciberamenaza al alza en la industria móvil que simula el comportamiento del usuario pulsando sobre los ‘banners’ y anuncios de agencias como AdMob de Google, AppLovin’, Facebook y Unity con el objetivo de generar beneficios financieros fraudulentos. Asimismo, los cibercriminales detrás de esta campaña clonaron aplicaciones reales del Store con el objetivo de incrementar la audiencia, sobre todo entre niños, ya que la mayoría de las portadas de aplicaciones para el malware de Tekya son juegos infantiles.

¿Cómo funciona Tekya?

Uno de los datos más destacados de la investigación llevada a cabo por Check Point revela que Tekya había sido capaz de eludir las medidas de seguridad de VirusTotal y Google Play Protect, un sistema desarrollado por Google para garantizar la seguridad del sistema operativo Android. En este sentido, esta variante de malware se camuflaba como parte del código nativo de las aplicaciones y empleaba el mecanismo ‘MotionEvent’ en Android (introducido en 2019) para imitar las acciones del usuario y generar clics.

Por otra parte, cuando un usuario descargaba alguna de las aplicaciones infectadas en el dispositivo, automáticamente se registraba un receptor (‘us.pyumo.TekyaReceiver’) que permitía llevar a cabo distintas acciones como “BOOT_COMPLETED” (permite que el código se ejecute al iniciar el dispositivo, lo que se conoce como “inicio frío”), “USER_PRESENT” (para detectar cuando el usuario está utilizando de forma activa el dispositivo) y “QUICKBOOT_POWERON” (para permitir que el código malicioso se ejecute después de reiniciar el dispositivo.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>