Las aplicaciones se
encontraban en el repositorio oficial desde octubre del año pasado. Aunque
inofensivas para los usuarios de Android, si se ejecutan en un entorno Windows
pueden infectar el equipo con un keylogger.
La retirada de
aplicaciones de Google Play Store debido a su contenido malicioso no es nada
nuevo. De hecho, hace poco una buena tanda de aplicaciones de minería fueron
eliminadas del repositorio. Sin embargo, lo curioso de este caso es que, aunque
maliciosas, las aplicaciones no presentan riesgos para usuarios de Android.
Han sido
investigadores de Palo Alto los que han detectado un total de hasta 142
aplicaciones disponibles en Google Play Store que contienen al menos un
ejecutable malicioso para Microsoft Windows. El fichero es inofensivo para los
usuarios móviles, sin embargo su desempaquetado y posterior ejecución en
entornos Windows lleva a la infección del equipo con un keylogger.
La teoría más
plausible es que sean los propios desarrolladores de las aplicaciones los
infectados por malware (posiblemente de varias familias) y durante el proceso
de desarrollo los ejecutables se han introducido dentro del APK que ha pasado a
distribuirse. Cabe señalar que otras aplicaciones del mismo desarrollador están
limpias, lo que apunta a que han sido confeccionadas en otro entorno.
Las APKs involucradas
que Palo Alto ha hecho públicas se pueden encontrar en Koodous. Como
curiosidad, el ejecutable de Windows fue visto por primera vez en 2013.
Más información:
·
Hidden
Devil in the Development Life Cycle: Google Play Apps Infected with Windows
Executable Files: https://researchcenter.paloaltonetworks.com/2018/07/unit42-hidden-devil-development-life-cycle-google-play-apps-infected-windows-executable-files/
Fuente: Hispasec