Con millones de usuarios y desarrolladores de software, Google Play es una plataforma atractiva para los cibercriminales. Entre otras cosas, los atacantes usan Google Play para llevar a cabo las llamadas campañas Shuabang, de publicidad fraudulentas están dirigidas a promocionar algunas 'apps' legítimas mediante la concesión de valoraciones más altas, incrementando sus descargas y publicando comentarios positivos sobre ellas, como han explicado desde Kaspersky Lab.
Para llevarlo a cabo, como han descubierto expertos de Kaspersky Lab, el troyano se introduce a través del 'rootkit' Leech, un 'malware' que otorga a los atacantes la capacidad de manipular los datos del dispositivo. Entre otras cosas, permite el acceso al nombre del usuario o a las contraseñas. Tras la instalación, Guerrilla usa los datos para comunicarse con la tienda de Google como si de una 'app' real se tratase.
No todas las aplicaciones usadas para lanzar las campañas Shuabang plantean una amenazada para el dispositivo infectado --como robo de datos o de dinero--. Sin embargo, pueden descargar 'apps' adicionales en estos dispositivos lo que supone una carga extra para el tráfico de Internet, y en algunos casos, las 'apps' Shuabang son capaces de instalar, sin que lo sepa el usuario, programas gratuitos o de pago, además de usar la tarjeta bancaria asociada a la cuenta de Google Play.
Los criminales son muy cuidadosos a la hora de usar los datos de autenticación, haciendo que las solicitudes de la aplicación falsa del cliente de Google Play parezcan exactamente igual a las que emitiría una persona real. Además, los hackers han intentado imitar la forma en la que un usuario real interactuaría con la tienda.
El equipo de Kaspersky Lab que ha descubierto este troyano es ofrece, asimismo, los siguientes consejos que permitirán prevenir este tipo de troyano: restringir la instalación de 'apps' de fuentes diferentes a las tiendas oficiales, usar soluciones de protección para defender los dispositivos y no 'rootear' el terminal Android.