Si la cantidad de aplicaciones maliciosas de Google Play ya no te sorprende, esta noticia es para ti. El adware cuidadosamente ocultado instalado en aplicaciones aprobadas por Google con más de 440 millones de instalaciones era tan agresivo que hacía que los dispositivos móviles fueran casi inutilizables, según dieron a conocer el martes investigadores del proveedor de seguridad móvil Lookout.

BeiTaAd, como se conoce al adware, es un plugin que Lookout dice que se encuentra oculto en el teclado con emojis TouchPal y otras 237 aplicaciones, todas ellas publicadas por CooTek, con sede en Shanghai, China. Juntas, las 238 aplicaciones tenían un total de 440 millones de instalaciones. Una vez instaladas, las aplicaciones inicialmente se comportaban normalmente. Entonces, después de un plazo de entre 24 horas y 14 días, el plugin BeiTaAd comenzaba a entregar lo que se conoce como «anuncios fuera de aplicación». Estos anuncios aparecían en las pantallas de bloqueo de los usuarios y disparaban audio y vídeo en momentos aparentemente aleatorios o incluso cuando el teléfono estaba suspendido.

El artículo de Lookout dice que los desarrolladores responsables de las 238 aplicaciones hicieron todo lo posible para ocultar el plugin. Las primeras versiones de las aplicaciones lo incorporaban como un archivo dex no cifrado llamado beita.renc dentro del directorio de activos/componentes. El cambio de nombre tuvo el efecto de hacer más difícil para los usuarios saber que el archivo era el responsable de ejecutar el código.

Más tarde, los desarrolladores de aplicaciones cambiaron el nombre del plugin a un ícono más opaco -icomoon-gemini.renc y lo encriptaron usando el Advanced Encryption Standard. Los desarrolladores luego ofuscaron la clave de descifrado dentro del código a través de una serie de funciones enterradas en un paquete llamado com.android.utils.hades.sdk. En versiones posteriores, los desarrolladores utilizaron una librería de terceros llamada StringFog, que utilizaba codificación basada en XOR y base64 para ocultar cada instancia de la cadena «BeiTa» en los archivos.

«Todas las aplicaciones que analizamos que contenían el plugin BeiTaAd fueron publicadas por CooTek, y todas las aplicaciones CooTek que analizamos contenían el plugin», explica Kristina Balaam, ingeniera de inteligencia de seguridad en Lookout. «El desarrollador también hizo todo lo posible para ocultar la presencia del plugin en la aplicación, lo que sugiere que podrían haber sido conscientes de la naturaleza problemática de este SDK. Sin embargo, no podemos atribuir BeiTa a CooTek con total certeza.»

Lookout reportó el comportamiento de BeiTaAd a Google, y las aplicaciones responsables fueron posteriormente eliminadas de Play o actualizadas para eliminar el plugin abusivo. No hay ninguna noticia de que CooTek vaya a ser expulsado o castigado por violar los términos de servicio de Play a escala masiva y por tomar las medidas que tomó para ocultar la infracción.

Hasta que Google no muestre signos de tener bajo control el problema de las aplicaciones maliciosas y abusivas (o sea, nunca), los usuarios de Android deben seguir siendo escépticos con respecto a Google Play y descargar las aplicaciones con moderación.

LEAVE A REPLY

Please enter your comment!
Please enter your name here