Una vez más el malware vuelve a colarse en Google Play en la forma de publicidad masiva, aunque la buena noticia es que las 85 aplicaciones que lo contenían ya han sido eliminadas de Google Play: todas juntas sumaban un total de 8 millones de descargas.
Camufladas como diversas aplicaciones de fotografía y juegos, las apps mostraban anuncios a pantalla completa que eran difíciles de evitar y usaban un ingenioso sistema para evadir la desinstalación de la app maliciosa por parte del usuario.
Anuncios cada vez que desbloqueas el móvil
Un total de 85 aplicaciones fueron encontradas en Google Play por los investigadores de seguridad de Trend Micro conteniendo el malware que han denominado AndroidOS_Hidenad.HRXH. En palabras llanas, se trata de un sistema increíblemente invasivo para mostrar anuncios a los usuarios.
Las apps en cuestión ya fueron eliminadas de Google Play después de que los investigadores informaran a Google, aunque en su mayoría se trataban de apps relacionadas con fotografía como Magic Camera o Blur Photo Edition o minijuegos. La lista completa de aplicaciones la puedes encontrar en este documento.
En su código, la aplicación comprobaba cuando el usuario desbloqueaba el móvil para proceder a mostrar un anuncio a pantalla completa que difícilmente se podía evitar por toda su duración, y dichos anuncios se repetían en una frecuencia que estaba configurada de forma predeterminada en cinco minutos. Es decir, cada cinco minutos, un anuncio imposible de saltar.
Es preciso comentar que las apps en cuestión sí cumplían en la medida de lo posible lo que se indicaba en su ficha de Google Play, de modo que, después de ver una buena tanda de anuncios, podías usar sus funciones.
Crea una copia falsa para protegerse
Las apps ocultaban su icono y creaban un acceso directo para hacer de señuelo y evitar la desinstalación
El malware que muestra publicidad en Android no es ni mucho menos una novedad, aunque en el caso de AndroidOS_Hidenad.HRXH la peculiaridad era el cuidado puesto en evitar que el usuario desinstalara la app.
Para ello, las aplicaciones esperaban 30 minutos después de ser instaladas para ocultar su icono del cajón de aplicaciones e inmediatamente crear un acceso directo falso en el escritorio de Android. De este modo, el usuario podría desinstalar el icono falso y creer haber acabado con la aplicación, cuando en verdad no sería así.
La buena noticia es que este método de ocultación deja de ser efectivo en las últimas versiones de Android, pues en Android 8.0 Oreo o superior, el sistema te avisa cada vez que una aplicación está intentando crear un acceso directo en el escritorio, lo cual es un buen modo de percatarse de que una app está haciendo algo raro.
Teniendo en cuenta que las apps ya no están disponibles en Google Play, si recuerdas haber instalado una aplicación con un comportamiento similar o se te muestran anuncios de este estilo, lo mejor que puedes hacer es buscarlas en los ajustes de Android, apartado aplicaciones, y desinstalarlas.
Vía | Trend Micro
Ver 4 comentarios