Videojuegos, el cebo favorito de los ciberdelincuentes

Emuladores de Nintendo Switch, adware oculto en el código de apps de juegos, malware camuflado en aplicaciones falsas de Pokémon Go… Los ciberdelincuentes han descubierto un filón en los videojuegos.

Los videojuegos se han convertido en el reclamo perfecto para vulnerar la seguridad de ordenadores y dispositivos móviles. Para regocijo de los ciberdelincuentes, la mayor parte de los usuarios baja la guardia cuando se trata de descargar juegos, abriendo la puerta a todo tipo de software malicioso.

La semana pasada, Symantec publicó una investigación en la que advertía del uso de falsos emuladores de la consola Nintendo Switch como cebo para estafar a los usuarios. Los ciberdelincuentes están aprovechando el interés que está despertando la consola para ofrecer a los usuarios el acceso a supuestos emuladores para PC. Sólo con buscar “Nintendo Switch emulator” en Youtube tendremos acceso a varios vídeos que muestran el proceso paso a paso para disfrutar de los juegos de la consola en el ordenador.

La mayoría de estos vídeos incorporan enlaces a sitios web que incluso incorporan el logo de la firma nipona. Pero si se intenta descargar el falso emulador, se dirige al usuario a una página web donde se indica que es preciso rellenar una encuesta para conseguir un código que permita descargar el emulador o desbloquearlo. Algunas encuestas incluso prometen la posibilidad de conseguir gratis una Nintendo Switch u otras consolas y premios.

Además, detrás del emulador se esconden instaladores de software malicioso. Symantec encontró OSX.Malcol (Mac) and PUA.Downloader (Windows), que descargan una aplicación indeseada, llamada PUA.OneSystemCare.

Igualmente, Check Point alertó recientemente en su blog acerca de aparición del adware Skinner en Google Play. Se trata de un malware insertado en el código de una app relacionada con los videojuegos. Ha estado dos meses en la tienda oficial de Android antes de ser descubierta, siendo descargada por más de 10.000 usuarios.

Check Point explica que la actividad maliciosa comienza cuando Skinner detecta una acción por del usuario, como abrir una aplicación. Además, antes iniciarse verifica varias condiciones, como que no haya ningún depurador ni hardware de emulación conectado o que la aplicación se haya instalado desde Google Play. El adware toma estas precauciones  para evitar a los investigadores y los métodos de protección desplegados. Y cuando se inicia, el malware envía al servidor ‘command & control’ (C&C) datos sobre el dispositivo, como su ubicación y las aplicaciones abiertas. Entonces, el C&C envía anuncios maliciosos que se mostrarán en el terminal infectado.

La particularidad de Skinner es que emplea una estrategia avanzada para asegurarse de que el usuario no es consciente de que está visualizando publicidad fraudulenta, aumentando la probabilidad de que haga clic. No se limita a mostrar aleatoriamente banners o pop-ups, sino que comprueba qué tipo de aplicación se está utilizando y ofrece un anuncio adecuado. Se trata de ocultación personalizada, una elaborada táctica que lo hace casi indetectable. Las cuatro categorías de apps que descarga son de navegación GPS, de llamadas, de utilidad y de navegador web.

Por último, cabe recordar que el furor que desató Pokémon Go también fue explotado por los ciberdelicuentes. Pocas horas después de lanzarse la versión oficial, empezó a circular una APK modificada, portadora del malware DroidJack, como avisaba Proofpoint. Y Kaspersky Lab también informó acerca de la presencia de malware oculto en una guía para Pokémon Go.