Dos juegos con funcionalidad oculta e indeseada estuvieron disponibles en GooglePlay desde el 24 de junio.
El fuerte incremento de malware desarrollado específicamente para la plataforma Android no es novedad. Sin embargo, en la mayoría de los casos, las apps malignas son distribuidas mediante canales distintos a Google Play Store. En aquellas oportunidades en que se han notificado de malware distribuido mediante la propia central de aplicaciones de Google, las apps indeseables han sido eliminadas con prontitud; en general, antes de 24 horas.
Irfan Asrar, analista de Symantec, informa en su blog sobre una situación mucho más grave. Esta semana, la empresa de seguridad informática detectó dos conocidos juegos con funcionalidad maligna, subidos a Google Play el 24 junio.
Las aplicaciones "Super Mario Bros." y "GTA 3 Moscow City" son, en la práctica, troyanos; es decir, software que simula ser algo, pero que en realidad tiene funcionalidad totalmente distinta, oculta para el usuario.
En esta página, Symantec describe la aplicación Super Mario Bros. en detalle. No se trata de un juego, sino de una aplicación que ofrece una imagen de fondo para smartphones. Al ser instalada, la aplicación solicita autorización para enviar SMS, algo que debería alertar a la mayoría. Después de instalado, el software descarga una nueva aplicación desde Dropbox. Esta aplicación también pide autorización para enviar mensajes de texto. Al ser iniciada, envía un SMS al número 3170, que según Symantec es un costoso servicio de pago operado desde Europa del Este. Posteriormente se desinstala la aplicación secundaria. Gran parte del diálogo generado por la aplicación está en idioma ruso.
 |
| El malware intenta primero obtener autorización del usuario, y luego se desinstala para ocultar sus actividades y borrar huellas. |
Symantec ha denominado el troyano Android.Dropdialer. Según la empresa, Google habría eliminado inmediatamente ambas aplicaciones en Google Play Store y en los teléfonos afectados. Sin embargo, considerando que el troyano estuvo disponible durante varias semanas, ha sido descargado, al parecer, entre 50.000 y 100.000 veces.
En este contexto, cabe señalar que Google testea todas las aplicaciones disponibles en Google Play Store con una herramienta denominada Bouncer. En la práctica, se trata de un sistema virtual Android, programado para reconocer conductas sospechosas en las aplicaciones. Todo indica que los creadores de malware han logrado crear apps que detectan cuando están siendo ejecutadas en Bouncer y no en un sistema operativo ordinario. De esa forma, desactivan la funcionalidad maligna, simulando ser aplicaciones lícitas. Otra estrategia de los ciberdelincuentes ha sido no incorporar funcionalidad maligna en la primera aplicación, sino hacer que ésta descargue una aplicación secundaria posteriormente. Una tercer procedimiento ha sido que ciberdelincuentes publiquen aplicaciones Android legítimas, para luego cambiarlas por malware.
Por tratarse de un procedimiento inusual, tales descargas secundarias deberían poner en alerta al usuario, que bajo ninguna circunstancia debería aceptarlas.
 |
| Las dos aplicaciones malignas detectadas por Symantec. |
No hay comentarios:
Publicar un comentario