Más de 100 aplicaciones en Google Play tienen código malicioso oculto

Escrito por Javier Jiménez
Android

Los autores de malware lograron ocultar código malicioso dentro de un kit de desarrollo de software (SDK, en sus siglas en inglés) que los desarrolladores meten en sus aplicaciones de Android, sin darse cuenta. Con ello exponen a sus usuarios a una variedad de malware móvil que Check Point ha identificado como ExpensiveWall. Según estos, han sido más de 100 aplicaciones Android que están en Google Play las que han sido infectadas por este problema.

Aplicaciones con código malicioso oculto

Según las estadísticas de descarga de aplicaciones de Google Play, las aplicaciones maliciosas se descargaron entre 5,9 millones y 21,1 millones de veces. El más descargado de estos fue una aplicación llamada Lovely Wallpaper, descargada entre 1 y 5 millones de veces.

Es por ello que son muchos los usuarios potenciales que han podido sufrir las consecuencias de este malware oculto. Los autores han logrado su objetivo de que parezca inofensivo de cara a los desarrolladores de aplicaciones y sean éstos quienes lo introduzcan en los propios programas que luego son descargados por el usuario final.

Malware en aplicaciones Android

Cómo actúa

Un análisis de las aplicaciones subidas en Google Play Store reveló que las aplicaciones incluían código malicioso (a través de un SDK denominado “gtc”) para realizar una serie de operaciones en un orden preciso.

El primer paso es similar a lo primero que realiza que realiza todo programa malicioso de Android: recopilar datos del dispositivo infectado y notificar esta información a un servidor remoto.

Segundo, ExpensiveWall haría ping de nuevo a un servidor remoto y recibiría comandos que ejecutarían dentro de un componente WebView.

Estos comandos contactan con el componente WebView para acceder a una página y suscribir al usuario a servicios SMS premium.

El malware imita los toques de pantalla que haría el usuario en cualquier procedimiento de varios pasos. También oculta mensajes SMS de confirmación.

En la mayoría de los casos, los propietarios de dispositivos sólo se darán cuenta de que han sido infectados con malware la próxima vez que llegue su factura móvil. Sin embargo, los investigadores también encontraron casos en los que el malware pide al usuario pulsar un botón que dice “Continuar”. Una vez que el usuario hace click en el botón, el malware envía un SMS premium en su nombre.

Google ha eliminado las aplicaciones infectadas

Google ha eliminado todas las aplicaciones que han sido reportadas por los investigadores de Check Point. Los investigadores también dicen que han identificado tres campañas distintas que distribuyeron el malware ExpensiveWall.

El primero fue detectado por los investigadores de seguridad de McAfee a principios de año, en enero. El segundo fue detectado y detenido recientemente por Check Point. Una tercera ola, activa en la actualidad, de aplicaciones no utiliza activamente el código malicioso oculto en el SDK.

Fueron muchas las aplicaciones que contenían código malicioso. Algunas de las que fueron más veces descargadas fueron estas: I Love Filter, Tool Box Pro, X WALLPAPER, Horoscope, X Wallpaper Pro, Beautiful Camera, Color Camera, Love Photo o Charming Camera. Todas ellas fueron descargadas al menos 100.000 veces. Se cree que la primera, I Love Filter, pudo ser descargada hasta 5 millones de veces.

Fuente > Bleeping Computer


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8