Se han detectado varios sitios con malware que son el destino de algunos resultados de búsquedas de usuarios de Android.  Esas búsquedas que realizan pueden ser con términos como “Windows Android Drivers”, los cuales entregan resultados como por ejemplo el siguiente de Yahoo:



Visitando esa URL via Windows, automáticamente descarga un fichero llamado install.exe, el cual posee el Trojan.Win32.Generic!BT.  Troyano que modifica la página de inicio de Internet Explorer, cambiándola por una página para suscribirse a un sitio de Rusia que ofrece acompañantes.

Si el usuario visita esa URL vía Android, es dirigido en forma random a varios websites de Rusia:

  • androidmegf(dot)ru
  • androidsex(dot)ru
  • androidbeksl(dot)ru
  • androidfre(dot)ru
  • androidmaxi(dot)ru
  • androidrte(dot)ru

Estos sitios poseen varios enlaces que apuntan a distintos sitios que imitan a la perfección a la tienda Play de Google, como bien pueden ver a continuación,

Esas tiendan están distribuyendo dos tipos principales de troyanos: Trojan.AndroidOS. y Generic.A.  Normalmente algunos troyanos como estos, envían SMS internacionales desde el teléfono de la víctima, los cuales generan ganancias monetarias a los cibercriminales que inician el ataque con malware.

Hay que tener en cuenta que no solo está sucediendo con la búsqueda de los tres términos que nombré al principio, también con otras variantes que utilizan algunas de esas palabras.

La única recomendación aquí y la que asegura que no están en una tienda que no es la original es ir directamente a play.google.com escribiendo la url en la barra de direcciones del navegador o desde la aplicación de Google Play.

[Fuente e imágenes GFI]