42 aplicaciones albergadas en la Play Store, cuyas descargas suman un total de más de 8 millones, contenían código malicioso. Tras rastrear el origen de las aplicaciones, se atribuyen a un estudiante universitario en Vietnam.
El investigador de ESET, Lukas Stefanko, ha descubierto que 42 aplicaciones alojadas en la Play Store de Google albergaban en realidad adware malicioso que era mostrado a pantalla completa en los dispositivos de las víctimas. Inicialmente, estas aplicaciones eran subidas a la plataforma como aplicaciones legítimas. Era más tarde, aprovechando sucesivas actualizaciones, cuando se actualizaba el código de la aplicación para incluir el código malicioso.
La identidad del estudiante ha podido ser fácilmente rastreada, dado que tampoco él, según las palabras del investigador, hizo demasiados esfuerzos en ocultar su identidad. Entre otras cosas, los detalles de registro asociados a las aplicaciones estaban disponibles de forma pública, incluyendo su nombre, dirección o número de teléfono. Toda esta información fue la que los investigadores utilizaron para llegar a su perfil en Facebook, Github y Youtube.
Dado que todas sus aplicaciones facilitaban al usuario aquellas características que, inicialmente, le eran prometidas en la descripción (radio, descargador de vídeos, juegos) era difícil para los usuarios tomar las aplicaciones como maliciosas o encontrar algo sospechoso.
El componente malicioso de las aplicaciones, un adware de la familia Ashas, conectaba a un servidor remoto de control operado por el desarrollador y automáticamente enviaba información básica sobre el entorno de ejecución y el dispositivo en el que se habían instalado las aplicaciones.
Una vez realizado el primer paso de la comunicación, la aplicación maliciosa recibía los datos de configuración pertinentes de su servidor de control remoto que, en última instancia, era el responsable de mostrar el contenido publicitario malicioso.
En aras de intentar ocultar la funcionalidad maliciosa de los mecanismos de seguridad de Google Play, la aplicación comprobaba antes de nada la dirección IP del dispositivo afectado. Si ésta caía dentro del rango de las IP conocidas atribuidas a los servidores de Google, la aplicación no ejecutaba el payload malicioso.
Además, para evitar que los usuarios fueran capaces de establecer la asociación entre los anuncios que salían en su teléfono y la aplicación recién instalada, el desarrollador estableció unos tiempos de retraso entre la instalación y la primera vez que un anuncio malicioso se le mostraba al usuario.
Otro de los trucos empleados para reducir las sospechas sobre las aplicaciones maliciosas era que éstas ocultaban su propio icono para que los usuarios no pudieran desinstalarla fácilmente arrastrando el icono a la parte superior de la pantalla.
Recomendamos la lectura completa del post del autor que puede encontrarse aquí, donde se detalla al completo el proceso seguido durante la investigación y se listan además las aplicaciones afectadas.
Más información:
https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/
Deja un comentario