Symantec
Esta semana, May Ying Tee y Martin Zhang de Symantec Threat Intelligence revelaron que habían informado a Google sobre un grupo de 25 aplicaciones maliciosas de Android disponibles a través de Google Play Store. En total, las aplicaciones, que comparten una estructura de código similar utilizada para evadir la detección durante el control de seguridad, se han descargado más de 2,1 millones de veces desde la tienda.
Las aplicaciones, que se ocultaban en la pantalla de inicio algún tiempo después de la instalación y comenzaban a mostrar anuncios en pantalla incluso cuando las aplicaciones estaban cerradas, se retiraron de la tienda. Sin embargo, es posible que permanezcan otras aplicaciones que utilizan el mismo método para evadir el control de seguridad de aplicaciones de Google.
Publicadas en 22 cuentas de desarrolladores diferentes, todas las aplicaciones se habían subido en los últimos cinco meses. Sin embargo, la similitud en la codificación de las aplicaciones sugiere que los desarrolladores «pueden ser parte del mismo grupo organizacional, o al menos están usando la misma base de código fuente», escribieron May y Zhang.
La mayoría de las aplicaciones decían ser utilidades fotográficas o relacionadas con la moda. En un caso, la aplicación era un duplicado de otra aplicación legítima de «desenfoque de fotos» publicada con el mismo nombre de cuenta de desarrollador, y la versión legítima había aparecido en la categoría de «aplicaciones más populares» de las listas de aplicaciones principales de Google Play. «Creemos que el desarrollador crea deliberadamente una copia maliciosa de la aplicación popular con la esperanza de que los usuarios descarguen la versión maliciosa», concluyeron May y Zhang.
llamando a casa
Al principio, después de la instalación, las aplicaciones maliciosas aparecen normalmente en la pantalla de inicio de Android. Pero cuando se inician, recuperan un archivo de configuración remota que incluye el código malicioso. Las palabras clave asociadas con la actividad maliciosa, incluido el código para ocultar el ícono de la aplicación, están cifradas en el archivo de configuración, «que creemos que es un esfuerzo por parte de los autores del malware para evitar la detección basada en reglas por parte de los escáneres antivirus», explicaron May y Zhang.
Una vez que se descarga el archivo de configuración, la aplicación extrae la configuración y cambia su comportamiento en consecuencia. Luego, la aplicación oculta su ícono en la pantalla de inicio y luego comienza a mostrar anuncios a pantalla completa, incluso cuando la aplicación está cerrada. «Los anuncios de pantalla completa se muestran a intervalos aleatorios sin el título de la aplicación registrado en la ventana del anuncio, por lo que los usuarios no tienen forma de saber qué aplicación es responsable del comportamiento», señalaron los investigadores de Symantec.
Obviamente, estas aplicaciones maliciosas están destinadas simplemente a generar ingresos publicitarios para sus desarrolladores. «Gracias a la capacidad de las aplicaciones para ocultar su presencia en la pantalla de inicio, los usuarios pueden olvidar fácilmente que las descargaron», señalaron los investigadores. Y sin una forma de vincular los anuncios a una aplicación específica, los desarrolladores tienen una audiencia cautiva y son libres de seguir enviando anuncios a sus usuarios-víctimas sin preocuparse de que se desinstalen sus aplicaciones.
Imagen del listado de SOPA Images/ Getty Images
