Un equipo de investigadores ha revelado que varias aplicaciones Android que afirman mejorar el rendimiento de los teléfonos inteligentes incluyen una funcionalidad que permite descargar miles de variantes de malware.
Ofrecidas en Google Play Store desde 2017, y descargadas más de 470,000 veces, las apps maliciosas se han hecho pasar por ofrecimientos para aumentar el rendimiento de los smartphones, supuestamente limpiando o eliminando archivos. Sin embargo, Trend Micro asegura que, en realidad, lo que hacen es infectar los dispositivos mediante una función oculta que realiza fraudes publicitarios.
Expertos de la citada compañía de ciberseguridad opinan que las aplicaciones maliciosas incluso podrían vulnerar la información con que el usuario inicia sesión en Facebook y Google.
El equipo de especialistas advierte que “los ciberdelincuentes que emprendieron esta campaña pueden usar el dispositivo infectado para falsificar y publicar reseñas positivas sobre otras apps maliciosas, y también para realizar actividades de fraude publicitario haciendo clic en los anuncios que aparecen [al activar el software instalado]”.
Después de rastrear la cifra de infecciones registradas durante los últimos tres meses, los investigadores creen que unos 2,500 usuarios estadounidenses han sido afectados por este tipo de software, el cual ya ha sido eliminado del mercado Google Play. Mientras tanto, un total de 48,557 usuarios japoneses de Android fueron infectados en el mismo periodo.
Lee más: ¿Todas las apps rusas son una amenaza potencial de contraespionaje para EU?
Las aplicaciones identificadas llevan los siguientes nombres: Shoot Clean (descargada más de 10,000 veces), Super Clean Lite (más de 50,000 descargas), Super Clean-Phone (instalada en más de 100,000 dispositivos), Quick Games (más de 100,000 descargas), Rocket Cleaner (instalada en más de 100,000 dispositivos Android), Rocket Cleaner Lite (más de 10,000 instalaciones), Speed Clean (descargada más de 100,000 veces), LinkWorldVPN (más de 1,000 descargas) y H5 gamebox (en más de 1,000 dispositivos Android).
Las aplicaciones expuestas por Trend Micro formaban parte de una “gran cantidad” de plataformas de publicidad móvil legítimas, incluidas Google AdMob y Facebook Audience Network.
La empresa de ciberseguridad tomó el ejemplo de la app Speed Clean para explicar cómo se establece la conexión oculta para descargar variantes de malware o payloads (cargas útiles) que facilitan el fraude publicitario.
Dicha aplicación “simula a un usuario que hace clic en un anuncio emergente en alguna de las apps maliciosas”, y esto genera dinero para los criminales.
Para ello, la presunta aplicación de limpieza engaña al usuario para que le permita utilizar todos sus permisos de accesibilidad, y lo insta a apagar las características de seguridad de Google Play desplegando una alerta que dice: “El teléfono está en riesgo. Abra este acceso para garantizar el uso seguro”.
Entérate: Agentes fronterizos de China instalan apps en celulares de turistas para vigilarlos
Una vez que el usuario hace clic en ese mensaje, los hackers pueden enviar más software malicioso al dispositivo y usar el teléfono inteligente para publicar reseñas falsas del software malicioso en Google Play. Pero si el usuario ha guardado los inicios de sesión en el smartphone, pueden asociar la aplicación trucada con sus cuentas Google y Facebook.
Aunque no han podido identificar al responsable de esta campaña de malware, los expertos de Trend Micro han dicho que su investigación preliminar sugiere que se trata de un operador -tal vez un equipo de operadores- que trabaja desde China.
Los expertos en ciberseguridad fundamentan esta conclusión en el hallazgo de que las aplicaciones no utilizan las funciones maliciosas si la ubicación geográfica del smartphone esta asociada con dicho país. Como ha señalado el sitio Web de Ars Technica, esta peculiaridad sugiere que los desarrolladores de malware no quieren llamar la atención de las autoridades chinas.
Te puede interesar: Las cinco dietas más buscadas en Google este 2019
“Hicimos pruebas modificando el parámetro geográfico e introdujimos códigos de otros países, incluso códigos aleatorios de países inexistentes, y el servidor remoto que configura la publicidad siempre respondió enviando contenidos maliciosos”, detalla el informe publicado el pasado 6 de febrero en el sitio Web de Trend Micro.
“No obstante, cuando modificamos el parámetro geográfico al código geo=cn [China], el servidor no generó contenido malicioso. Esto indica que los autores de la campaña evitan de manera intencional cualquier petición que origine en ese país. En otras palabras, los chinos están excluidos del ataque”.
El equipo de Trend Micro concluye advirtiendo que los usuarios de equipos Android siempre deben “investigar al desarrollador” antes descargar cualquier aplicación móvil ofrecida en Play Store, y esto incluye leer todas las reseñas publicadas para determinar si otros usuarios han detectado actividades sospechosas. En este caso, las apps trucadas contaban con abundantes reseñas; sin embargo, todas estaban redactadas de manera casi idéntica y hasta utilizaban las mismas palabras: una señal de alarma para cualquiera.
Android es el sistema operativo móvil desarrollado y propiedad de Google.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
