Hemos detectado una campaña de phishing dirigida a desarrolladores de Android que publican sus creaciones en Google Play, la tienda de apps oficial del popular sistema operativo. El campo “De” del mensaje dice “Play Developer Support”, con el asunto “Update your Account Informations”, como podéis ver en la siguiente captura de pantalla:

phishing desarrolladores

Al pinchar en el enlace proporcionado, eres redirigido a una página web que parece de Google, aunque obviamente no lo es:

phishing gmail

Los ataques de phishing están diseñados para robar las credenciales y la identidad del usuario, por eso son extremadamente populares los ataques dirigidos a clientes de entidades financieras y de todo tipo de plataformas de pago. Este caso, sin embargo, es diferente ya que no están buscando vaciar la cuenta bancaria del usuario, quieren esas credenciales porque pueden usarlas para propagar malware a través de Google Play.

Lo más preocupante es lo fácil que resultaría para los delincuentes el automatizar todo este proceso. Lo único que necesitan es:

  • Construir una “araña” (crawler, hay unos cuantos proyectos de código abierto que les pueden ayudar en esta tarea) para descargarse información de todas las apps publicadas en Google Play.
  • Analizar toda esa información para obtener las direcciones de correo de los diferentes desarrolladores.
  • Enviar una campaña personalizada de phishing, incluso la página web podría ser personalizada para el desarrollador específico, hacienda que el engaño sea mucho más creíble y obtener un mejor “ratio de conversión”.
  • Como el atacante tiene la información de todas las apps publicadas por cada desarrollador, podría desarrollar un sistema de alarma que le alertara cada vez que un desarrollador con una app popular (millones de descargas) hubiera caído en la trampa.

Desde este punto, uno de los más fáciles (y poco sofisticados) ataques sería publicar apps maliciosas desde esa cuenta. Imaginad que alguien consigue robar las credenciales de los desarrolladores de Candy Crush y publicaran Candy Crush 2 desde la misma cuenta…

Si los atacantes fueran más hábiles y encontraran una forma de modificar la aplicación sin utilizar la llave privada (que no puede ser obtenida con las credenciales robadas), podrían publicar y actualizar cualquier app. En el ejemplo anterior, imaginad que los atacantes crean una actualización de Candy Crush que incluye un troyano: cientos de millones de usuarios se lo descargarían e instalarían sin sospechar nunca que están siendo comprometidos.