Es 2019 y Google todavía no puede mantener el malware fuera de su tienda de aplicaciones Android

Publicado el 16/07/2019

Es 2019 y Google todavía no puede mantener el malware fuera de su tienda de aplicaciones Android

Google parece tener problemas para evitar que las aplicaciones maliciosas entren a hurtadillas en la tienda de juegos.

En lo que parece ser otro caso de malware disfrazado de aplicación legítima, los investigadores de seguridad de Symantec han encontrado una nueva aplicación que se anunciaba como una versión no oficial de la aplicación de mensajería Telegram, sólo para poner en segundo plano los sitios web maliciosos.

Llamada MobonoGram 2019, la aplicación utilizó código de código abierto de la aplicación Telegram legítima, pero se le inyectó malware antes de que se publicara en Google Play Store.

El código malicioso del dispositivo infectado se utilizó para propagar el malware «Android.Fakeyouwon» y cargar las URL maliciosas recibidas de un servidor de comando y control (C&C).

Google Play como semillero de malware

No es la primera vez que se encuentran aplicaciones maliciosas en la Play Store de Google. En los últimos meses, el gigante de las búsquedas ha luchado contra un número cada vez mayor de aplicaciones de malware en la tienda de aplicaciones.

En parte debido a la naturaleza abierta de la plataforma, es un problema que sigue ocurriendo.

Desde aplicaciones y juegos falsificados hasta aplicaciones de imitación que sirven silenciosamente adware en dispositivos infectados, desde spyware hasta aplicaciones que meten anuncios para generar ingresos fraudulentos, la gama de amenazas en dispositivos Android se ha ampliado enormemente.

Google, por su parte, ha estado aprovechando Google Play Protect como medio para proteger los dispositivos de aplicaciones potencialmente dañinas.

Mientras que los esfuerzos de la compañía resultaron en la eliminación de más de 700.000 aplicaciones sólo el año pasado, las grietas en su proceso de revisión han hecho posible en repetidas ocasiones que las aplicaciones defectuosas se escapen una y otra vez.

A pesar de este flujo constante de informes sobre nuevos adware y otros programas maliciosos encontrados en la tienda de Google Play, Google ha seguido haciendo hincapié en que las tarifas son en realidad muy bajas y que los usuarios están mucho más seguros sólo instalando aplicaciones de Google Play.

Pero estos incidentes sirven para poner de relieve los límites de los propios filtros de aplicaciones de Google, lo que plantea problemas de seguridad en relación con su tienda supuestamente examinada.

Cómo funciona el malware de MobonoGram

Disponible en inglés y persa, MobonoGram está dirigido a usuarios de países como Irán y Rusia -donde la aplicación está oficialmente prohibida- y Estados Unidos.

Los investigadores encontraron que aunque la aplicación proporcionaba funcionalidad de mensajería básica, también se reveló que estaba ejecutando en secreto algunos servicios en el dispositivo sin el consentimiento del usuario, así como cargando y navegando un flujo interminable de sitios web maliciosos en segundo plano.

«Mobonogram es una versión no oficial del Telegrama convencional que funciona sin ningún interruptor de filtro, y tiene muchas más características que Telegrama y otras versiones no oficiales», dice la traducción persa de la descripción de la aplicación.

La aplicación maliciosa tenía un «mecanismo de persistencia» que permitía que la aplicación se iniciara cada vez que se iniciaba un dispositivo, o inmediatamente después de que se instalaba o actualizaba una aplicación.

Según los investigadores, esta función de arranque automático -establecida para funcionar como un servicio en primer plano o reiniciada automáticamente después de dos horas en caso de que el servicio se interrumpa- se utilizó para iniciar una serie de servicios adicionales sin el conocimiento del usuario.

Una vez que la aplicación estaba en funcionamiento, accedía a un conjunto de servidores designados de C&C para recibir URLs maliciosas, un agente de usuario del navegador para enmascarar el origen de la solicitud y tres códigos JavaScript.

Los investigadores observaron que los códigos JavaScript fueron diseñados para cometer fraude al hacer clic y generar ingresos por publicidad.

«Los eventos de clic no se veían en acción, aunque todos los códigos JavaScript estaban efectivamente cargados. Sin embargo, no podemos descartar por completo la posibilidad de que el malware se utilice para el fraude de clics o algún otro fin malicioso», apuntaron los investigadores.

Aparte de esto, los investigadores de Symantec también encontraron que había algunas URL que causaban un bucle infinito de solicitudes a un sitio web malicioso. Esta actividad puede agotar la batería del dispositivo y, al mismo tiempo, provocar su colapso.

Basándose en los datos de telemetría recopilados entre enero y mayo de 2019, la empresa de ciberseguridad dijo que detectó y bloqueó 1.235 infecciones relacionadas con la familia de malware Android.fakeyouwon, con el mayor número de infecciones localizadas en Estados Unidos, Irán, India y los Emiratos Árabes Unidos.

No está inmediatamente claro cuánto tiempo estuvo disponible MobonoGram 2019. Pero la aplicación acumuló más de 100.000 descargas y el desarrollador, RamKal Developers, publicó al menos cinco actualizaciones antes de que Google la eliminara de la tienda Play. El mismo desarrollador también publicó una segunda aplicación llamada Whatsgram que mostraba un comportamiento malicioso similar.

Sin embargo, una simple búsqueda muestra que las aplicaciones siguen estando disponibles en repositorios de aplicaciones no oficiales de terceros.

Por ahora, se aplica la misma regla de precaución. Siempre es mejor mantener el software de tu teléfono actualizado, abstenerte de descargar aplicaciones de fuentes desconocidas y tener cuidado con los permisos solicitados por las aplicaciones.