De cuando en cuando descubrimos nuevas infiltraciones de malware en Google Play, pero lo cierto es que estas apps indeseables se cuelan en todas las tiendas de aplicaciones. Hace un mes conocíamos a un troyano infiltrado en Huawei App Gallery y ahora le toca el turno a la tienda de aplicaciones de Samsung, la Galaxy Store.
En esta ocasión en el informe no proviene de un equipo de analistas de un antivirus, sino de Max Weinbach de Android Police, que informó en Twitter haber descargado varias apps de Galaxy Store que eran detectadas como maliciosas por Google Play Protect tan pronto como se intenta instalar en el dispositivo.
Play Protect peleándose con Galaxy Store
Los móviles Samsung tienen dos tiendas de aplicaciones instaladas en sus móviles: la de Google y la de Samsung. En la primera de ellas se integra Play Protect, el antivirus de Android; en la segunda no, pero Play Protect actúa de todos modos cada vez que instalas una nueva aplicación en el móvil, aunque sea desde otra tienda.
Es precisamente Play Protect de Google el que ha sacado a la luz que aplicaciones recién descargadas desde la Galaxy Store eran detectadas como malware. Antes de instalarse en el sistema, se muestra un aviso que indica que la aplicación puede ser maliciosa.
I gave Huawei shit for this, gonna do it to Samsung too.
— Max Weinbach (@MaxWinebach) December 27, 2021
Samsung is hosting literal malware on the Galaxy Store. Google's anti-virus protection software, built into Play Services, stops the install.
I've found at least 5 of these apps in a row on the Galaxy Store. pic.twitter.com/LiiDJtGwmb
Max Weinbach asegura que esto le ha pasado al menos con cinco aplicaciones seguidas, siendo supuestos clones de una aplicación para ver contenido que lleva tiempo desaparecida. Si ignoras la advertencia y decides instalar la aplicación de todos modos, lo primero que hace es pedir acceso al registro de llamadas, lo cual nunca es una buena señal.
Un análisis del archivo APK de una de estas aplicaciones en VirusTotal resulta en positivos en varios positivos, en la mayoría de ocasiones clasificado como Clicker, troyano genérico o simplemente sospechoso al permitir la ejecución de código remoto, un recurso común en las aplicaciones maliciosas para evadir la detección al subir el archivo a la tienda de aplicaciones.
Sacamos dos conclusiones de esta noticia. La primera, que el malware parece estar ganando la carrera armamentística contra los servicios de protección presentes en todas las tiendas de aplicaciones de Android. La segunda, que está muy recomendado mantener activado Play Protect, a pesar de que no sea infalible, así como evitar descargar apps de dudosa procedencia y legalidad.
Vía | Android Police