Google Play, el repositorio oficial de aplicaciones de Android de la compañía, ha sido descubierto una vez más alojando aplicaciones fraudulentas y potencialmente maliciosas, con el descubrimiento de más de 56 aplicaciones, muchas de ellas para niños, que se instalaron en casi 1,7 millones de dispositivos.
Tekya es una familia de malware que genera clics fraudulentos en anuncios y pancartas entregados por agencias como AdMob de Google, AppLovin’, Facebook y Unity. Para dar a los clics un aire de autenticidad, el código bien ofuscado hace que los dispositivos infectados utilicen el mecanismo «MotionEvent» de Android para imitar las acciones legítimas del usuario. En el momento en que los investigadores de la empresa de seguridad Check Point las descubrieron, VirusTotal y Google Play Protect no detectaron las aplicaciones. Veinticuatro de las aplicaciones que contenían Tekya se comercializaron para niños. Google eliminó las 56 aplicaciones después de que Check Point las informara.
El descubrimiento «destaca una vez más que Google Play Store aún puede albergar aplicaciones maliciosas», escribieron los investigadores de Check Point Israel Wernik, Danil Golubenko y Aviran Hazum en una publicación publicada el martes. “Hay casi 3 millones de aplicaciones disponibles en la tienda, con cientos de aplicaciones nuevas que se cargan diariamente, lo que dificulta verificar que todas las aplicaciones sean seguras. Por lo tanto, los usuarios no pueden confiar únicamente en las medidas de seguridad de Google Play para garantizar que sus dispositivos estén protegidos”.
Convertirse en nativo
Para hacer que el comportamiento malicioso sea más difícil de detectar, las aplicaciones se escribieron en código nativo de Android, generalmente en los lenguajes de programación C y C++. Las aplicaciones de Android generalmente usan Java para implementar la lógica. La interfaz de ese lenguaje brinda a los desarrolladores la facilidad de acceder a múltiples capas de abstracción. El código nativo, por el contrario, se implementa en un nivel mucho más bajo. Si bien Java se puede descompilar fácilmente (un proceso que convierte los archivos binarios nuevamente en código fuente legible por humanos), es mucho más difícil hacerlo con código nativo.
Una vez instaladas, las apps de Tekya registran un receptor de emisión que realiza múltiples acciones, entre ellas:
- BOOT_COMPLETED para permitir que el código se ejecute al iniciar el dispositivo (inicio en «frío»)
- USER_PRESENT para detectar cuando el usuario está usando activamente el dispositivo
- QUICKBOOT_POWERON para permitir la ejecución del código después de reiniciar el dispositivo
El único propósito del receptor es cargar la biblioteca nativa ‘libtekya.so’ en la carpeta de bibliotecas dentro del archivo .apk de cada aplicación. La publicación de Check Point proporciona muchos más detalles técnicos sobre cómo funciona el código. Los representantes de Google confirmaron que las aplicaciones se eliminaron de Play.
Pero espera . . . hay más
Por otra parte, el proveedor de antivirus Dr.Web informó el martes del descubrimiento de un número no revelado de aplicaciones de Google Play, descargadas más de 700.000 veces, que contenían malware denominado Android.Circle.1. El malware utilizaba un código basado en el lenguaje de secuencias de comandos BeanShell y combinaba funciones de adware y de fraude de clics. El malware, que tenía 18 modificaciones, podría usarse para realizar ataques de phishing.
La publicación de Dr.Web no nombró todas las aplicaciones que contenían Android.Circle.1. El puñado de aplicaciones identificadas fueron Wallpaper Black—Dark Background, Horoscope 2023—Zodiac Horoscope, Sweet Meet, Cartoon Camera y Bubble Shooter. Google eliminó todas las aplicaciones de las que informó Dr.Web. Mientras tanto, las 56 aplicaciones descubiertas por Check Point están en la publicación de Check Point del martes, que también se encuentra aquí.
Los dispositivos Android a menudo desinstalan aplicaciones después de que se descubre que son maliciosas, pero el mecanismo no siempre funciona según lo previsto. Los lectores pueden querer revisar sus dispositivos para ver si han sido infectados. Como siempre, los lectores deben ser muy selectivos con las aplicaciones que instalan. Sin duda, los escaneos de Google detectan un gran porcentaje de aplicaciones maliciosas enviadas a Play, pero una cantidad significativa de usuarios continúan infectándose con malware que pasa por alto esos controles.
