{"id":27704,"date":"2022-09-28T08:45:25","date_gmt":"2022-09-28T06:45:25","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27704"},"modified":"2022-09-30T10:16:04","modified_gmt":"2022-09-30T08:16:04","slug":"harly-trojan-subscriber","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/harly-trojan-subscriber\/27704\/","title":{"rendered":"Harly: otro troyano suscriptor en Google Play"},"content":{"rendered":"

Es com\u00fan encontrar en la tienda oficial de Google Play todo tipo de malware oculto bajo la apariencia de aplicaciones inofensivas. Por desgracia, incluso aunque la plataforma cuente con una buena vigilancia, los moderadores no siempre pueden detectar estas aplicaciones antes de que se publiquen.<\/p>\n

Una de las variaciones m\u00e1s populares de este tipo de malware son los troyanos suscriptores que se registran en servicios de pago sin el conocimiento del usuario.<\/p>\n

Ya hemos escrito anteriormente acerca de las familias m\u00e1s comunes de este tipo de troyanos, y, en este post, te vamos a hablar sobre otro de ellos. Se trata de uno similar al troyano suscriptor Jocker, por eso le han puesto el nombre de Harly, el nombre (ligeramente cambiado) de la compa\u00f1era de este famoso villano de c\u00f3mic. Probablemente, los dos troyanos tienen or\u00edgenes comunes.<\/p>\n

La verdad sobre los troyanos Harly<\/h2>\n

Desde 2020, se han encontrado en Google Play m\u00e1s de 190 aplicaciones infectadas con Harly. Se estima que el n\u00famero de descargas de estas aplicaciones es de 4,8 millones, pero la cifra real puede ser a\u00fan mayor.<\/p>\n

\"Ejemplos

Ejemplos de aplicaciones de Google Play que contienen el malware Harly<\/p><\/div>\n

Al igual que sucede con los troyanos Jocker, los troyanos de la familia Harly imitan aplicaciones leg\u00edtimas. \u00bfY c\u00f3mo funciona? Los estafadores descargan aplicaciones corrientes que se encuentran en Google Play, insertan c\u00f3digo malicioso en ellas y luego las vuelven a subir a Google Play con otro nombre.<\/strong> A veces, estas aplicaciones, adem\u00e1s de contener c\u00f3digo malicioso, tambi\u00e9n cuentan con las caracter\u00edsticas que se enumeran en la descripci\u00f3n, por lo que es posible que los usuarios no sospechen de ellas ni las consideren una amenaza.<\/p>\n

\"M\u00e1s

M\u00e1s ejemplos de aplicaciones de Google Play que contienen el malware Harly.<\/p><\/div>\n

La mayor\u00eda de los miembros de la familia Jocker son descargadores de varias etapas: reciben la carga \u00fatil de los servidores C&C de los estafadores. Los troyanos de la familia Harly, por el contrario, contienen toda la carga \u00fatil dentro de la aplicaci\u00f3n y utilizan diferentes m\u00e9todos para descifrarla y ejecutarla.<\/p>\n

\"Rese\u00f1as

Rese\u00f1as de usuarios quej\u00e1ndose de cargos bancarios<\/p><\/div>\n

C\u00f3mo funciona el troyano suscriptor Harly<\/h2>\n

Tomemos como ejemplo una aplicaci\u00f3n llamada com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), una aplicaci\u00f3n de linterna que tiene m\u00e1s de 10.000 descargas en Google Play.<\/p>\n

\"Una

Una aplicaci\u00f3n infectada con el troyano Harly<\/p><\/div>\n

Cuando se inicia la aplicaci\u00f3n, se carga una sospechosa biblioteca:<\/p>\n

\"Una

Una sospechosa biblioteca<\/p><\/div>\n

La biblioteca descifra el archivo con los recursos de la aplicaci\u00f3n.<\/p>\n

\"Descifrado

Descifrado de un archivo con los recursos de la aplicaci\u00f3n<\/p><\/div>\n

<\/div>\n

Curiosamente, los creadores de malware aprendieron a usar los lenguajes de programaci\u00f3n Go y Rust, pero de momento sus habilidades se limitan a descifrar y cargar el Kit de Desarrollo de Software (SDK) malicioso.
\nComo ocurre con otros troyanos suscriptores, Harly recopila informaci\u00f3n sobre el dispositivo del usuario y, en particular, sobre la red m\u00f3vil. El tel\u00e9fono del usuario cambia a una red m\u00f3vil y luego el troyano le pide al servidor C&C que configure la lista de suscripciones a las que debe registrarse.
\nEste troyano en particular funciona solo con operadores tailandeses, por lo que primero verifica los MNC (c\u00f3digos de red m\u00f3vil), identificadores \u00fanicos de los operadores de red, para asegurarse de que sean tailandeses:<\/p>\n

\"Comprobaci\u00f3n

Comprobaci\u00f3n de los MNC<\/p><\/div>\n

Sin embargo, para la comprobaci\u00f3n del MNC, utiliza el c\u00f3digo de China Telecom: 46011. Esta, junto a otras pistas, sugieren que los desarrolladores de malware se encuentran en China.<\/p>\n

\"Test

Test MNC<\/p><\/div>\n

El troyano abre la direcci\u00f3n de la suscripci\u00f3n en una ventana invisible y, al inyectar secuencias de comandos JS, introduce el n\u00famero de tel\u00e9fono del usuario, presiona los botones necesarios e introduce el c\u00f3digo de confirmaci\u00f3n del mensaje de texto.<\/p>\n

Al final, el usuario adquiere una suscripci\u00f3n de pago sin darse cuenta.<\/strong>
\nOtra caracter\u00edstica importante de este troyano es que puede suscribirse no solo cuando el proceso est\u00e1 protegido por un c\u00f3digo que se recibe mediante un mensaje de texto, sino tambi\u00e9n cuando est\u00e1 protegido mediante una llamada telef\u00f3nica. En este \u00faltimo caso, el troyano llama a un n\u00famero concreto y confirma la suscripci\u00f3n.<\/strong><\/p>\n

Nuestros productos detectan las aplicaciones maliciosas<\/strong> que hemos descrito en este art\u00edculo como<\/strong> son: Trojan.AndroidOS.Harly y Trojan.AndroidOS.Piom.<\/strong><\/p>\n

C\u00f3mo protegerse frente a los troyanos suscriptores<\/h2>\n

Las tiendas de aplicaciones oficiales luchan continuamente contra la propagaci\u00f3n de malware pero, como hemos visto, no siempre con \u00e9xito. Antes de instalar una aplicaci\u00f3n, te recomendamos que leas las rese\u00f1as de los usuarios y verifiques su calificaci\u00f3n en Google Play. Sin embargo, ten en cuenta que las rese\u00f1as y calificaciones pueden no ser reales. Para tenerlo todo cubierto y evitar ser v\u00edctima de este tipo de malware, te recomendamos instalar una soluci\u00f3n de seguridad de confianza<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Explicamos c\u00f3mo el troyano suscriptor Harly ataca a los usuarios de Android.<\/p>\n","protected":false},"author":2492,"featured_media":27714,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[59,188,2969,586],"class_list":{"0":"post-27704","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-google-play","10":"tag-suscripciones-de-pago","11":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/harly-trojan-subscriber\/27704\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/harly-trojan-subscriber\/24633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/harly-trojan-subscriber\/20100\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/harly-trojan-subscriber\/10143\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/harly-trojan-subscriber\/27085\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/harly-trojan-subscriber\/24990\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/harly-trojan-subscriber\/25313\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/harly-trojan-subscriber\/27229\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/harly-trojan-subscriber\/34011\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/harly-trojan-subscriber\/11049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/harly-trojan-subscriber\/45573\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/harly-trojan-subscriber\/19501\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/harly-trojan-subscriber\/20062\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/harly-trojan-subscriber\/29306\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/harly-trojan-subscriber\/32616\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/harly-trojan-subscriber\/28493\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/harly-trojan-subscriber\/25478\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/harly-trojan-subscriber\/31046\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/harly-trojan-subscriber\/30738\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/android\/","name":"android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27704","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2492"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27704"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27704\/revisions"}],"predecessor-version":[{"id":27715,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27704\/revisions\/27715"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27714"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27704"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27704"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27704"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}