42 aplicaciones
albergadas en la Play Store, cuyas descargas suman un total de más de 8
millones, contenían código malicioso. Tras rastrear el origen de las
aplicaciones, se atribuyen a un estudiante universitario en Vietnam.
El investigador de
ESET, Lukas Stefanko, ha descubierto que 42 aplicaciones alojadas en la Play
Store de Google albergaban en realidad adware malicioso que era mostrado a
pantalla completa en los dispositivos de las víctimas. Inicialmente, estas
aplicaciones eran subidas a la plataforma como aplicaciones legítimas. Era más
tarde, aprovechando sucesivas actualizaciones, cuando se actualizaba el código
de la aplicación para incluir el código malicioso.
La identidad del
estudiante ha podido ser fácilmente rastreada, dado que tampoco él, según las
palabras del investigador, hizo demasiados esfuerzos en ocultar su identidad.
Entre otras cosas, los detalles de registro asociados a las aplicaciones
estaban disponibles de forma pública, incluyendo su nombre, dirección o número
de teléfono. Toda esta información fue la que los investigadores utilizaron
para llegar a su perfil en Facebook, Github y Youtube.
Dado que todas sus
aplicaciones facilitaban al usuario aquellas características que, inicialmente,
le eran prometidas en la descripción (radio, descargador de vídeos, juegos) era
difícil para los usuarios tomar las aplicaciones como maliciosas o encontrar
algo sospechoso.
El componente
malicioso de las aplicaciones, un adware de la familia Ashas, conectaba a un
servidor remoto de control operado por el desarrollador y automáticamente
enviaba información básica sobre el entorno de ejecución y el dispositivo en el
que se habían instalado las aplicaciones.
Una vez realizado el
primer paso de la comunicación, la aplicación maliciosa recibía los datos de
configuración pertinentes de su servidor de control remoto que, en última
instancia, era el responsable de mostrar el contenido publicitario malicioso.
En aras de intentar
ocultar la funcionalidad maliciosa de los mecanismos de seguridad de Google
Play, la aplicación comprobaba antes de nada la dirección IP del dispositivo
afectado. Si ésta caía dentro del rango de las IP conocidas atribuidas a los
servidores de Google, la aplicación no ejecutaba el payload malicioso.
Además, para evitar
que los usuarios fueran capaces de establecer la asociación entre los anuncios
que salían en su teléfono y la aplicación recién instalada, el desarrollador
estableció unos tiempos de retraso entre la instalación y la primera vez que un
anuncio malicioso se le mostraba al usuario.
Otro de los trucos
empleados para reducir las sospechas sobre las aplicaciones maliciosas era que
éstas ocultaban su propio icono para que los usuarios no pudieran desinstalarla
fácilmente arrastrando el icono a la parte superior de la pantalla.
Recomendamos la lectura completa del
post del autor, donde se detalla al completo el proceso seguido durante la
investigación y se listan además las aplicaciones afectadas, (https://www.welivesecurity.com/2019/10/24/tracking-down-developer-android-adware/ )
Más información:
Fuente: Hispasec