Año tras año, Google nos muestra datos de cómo ha mejorado la seguridad en Android, pero con más de 2 millones de aplicaciones disponibles en la tienda de Google, el malware sigue colándose por las rendijas del sistema de cuando en cuando. El último informe, en este caso de Trend Micro, habla de aplicaciones que se usaban para espiar y obtener información de los móviles de sus víctimas.
El malware en cuestión ha sido bautizado como MOBSTSPY y la buena noticia es que las aplicaciones afectadas ya han sido eliminadas de Google Play. No obstante, su existencia deja en evidencia una vez más que todavía hay mucho margen de mejora y que no debemos fiarnos de ninguna aplicación aunque esté en Google Play, por muy inofensiva que parezca.
Un puñado de apps con 100.000 descargas
Trend Micro no entra en demasiado detalle en su informe sobre qué aplicaciones incluían este malware, aunque menciona un puñado de ellas. Destacan el clon de Flappy Bird Flappy Birr Dog, así como otras aplicaciones más de productividad como FlashLight, Win7imulator, Win7Launcher o HZPermis Pro Arabe.
Lo que tienen en común estas aplicaciones es que a simple vista parecen aplicaciones normales y corrientes, y probablemente así lo fueran durante semanas o meses después de publicarse en Google Play. Según Bharat Mistry, de Trend Micro, Google hace un mayor análisis de seguridad para aplicaciones nuevas que actualizaciones, de modo que es común que el malware llegue más tarde en una actualización posterior.
Varias de estas aplicaciones no contaban con demasiadas descargas en el momento del análisis, aunque Win7Imulator y Win7Launcher sumaban algo más de 100.000 descargas que, según las estimaciones de Trend Micro, incluían usuarios de casi 200 países, principalmente India, Rusia, Pakistán, Bangladesh, Indonesia y Brasil. Los países de habla hispana mencionados son Mexico, Argentina, aunque no se indica el porcentaje en este caso.
Cómo actuaba este malware
Según detalla Trend Micro, la principal función era el robo de información. Este robo se controlaba de forma remota desde un servidor con el que se podía indicar a la aplicación que recopilara casi cualquier cosa posible (dentro de los límites dentro del sistema de Android).
Por ejemplo, era capaz de recopilar la información de ubicación, el registro de llamadas, todos los SMS, los elementos guardados en el portapapeles, los contactos y archivos sueltos. De igual modo, el atacante remoto podía subir sus propios archivos al móvil.
Sin embargo, Android guarda celosamente varios datos personales como los credenciales de inicio de sesión, pero MOBSTSPY tenía una solución para eso: el phising. Mostraba ventanas falsas de inicio de sesión en Facebook y Google, con la esperanza de que el usuario escribiera su contraseña.
Así el atacante podía hacerse con la valiosa información guardada en una cuenta de Google y Facebook. Con el acceso también a los SMS, podría iniciar sesión con estos credenciales aunque dichas cuentas estuvieran protegidas con autorización en dos pasos.
Por suerte, todas estas aplicaciones han sido ya eliminadas de Google Play, así que no debes preocuparte por ellas. Ahora bien, si te suena alguno de los nombres anteriores y crees que las instalaste o mantienes instaladas, es mejor que te deshagas de ellas.
Vía | ZDNet
Ver todos los comentarios en https://www.xatakandroid.com
VER 1 Comentario