Google Play sigue borrando adware

Google Play eliminó más de una docena de aplicaciones después de que los investigadores encontrasen que son versiones de programas legítimos diseñadas para mostrar agresivamente anuncios a los propietarios de dispositivos Android.

Según Zscaler, el nuevo adware nocivo trata de engañar al usuario para conseguir privilegios de administrador. Una vez que los consigue, empieza a mostrar publicidad en toda la pantalla, abrir enlaces en el navegador, reproducir vídeos de YouTube, abrir aplicaciones instaladas y a sembrar accesos directos en la pantalla de inicio.

Entre las aplicaciones potencialmente peligrosas publicadas en Google Play había una serie de juegos, un editor de fotos, un escáner de código de barras y una brújula digital. Cuatro de estas aplicaciones se descargaron de 10 000 a 50 000 veces. “El análisis primario demostró que (en el adware descubierto) no hay funciones que requieran derechos administrativos en el dispositivo”, escribe el especialista en amenazas para Android Gaurav Shinde en el blog de Zscaler.

Según el investigador, la mayoría de los paquetes de software analizados en Zscaler contenían una copia pirata de una aplicación legítima. Por ejemplo, el APK con el nombre de paquete  com.ndk.taskkiller incluía una versión hackeada de las aplicaciones Battery Saver HD y Task Killer (para ahorrar batería).

El código malicioso adjunto a dicha copia permite que la aplicación maliciosa se comunique con el servidor de administración del atacante. “Después de una instalación satisfactoria, estas aplicaciones se conectan al servidor de administración configurado y siguen las instrucciones que les envía”, escribe Shinde.

El primer comando que ejecuta el adware es solicitar privilegios de administrador. Para persuadir al usuario de condecerle tales derechos, el malware crea un menú de configuración Android falso, que ofrece al usuario para activar un servicio premium. “Si el usuario concede privilegios de administrador a la aplicación, sólo será posible desinstalarla una vez que se le haya revocado estos derechos”, explica Shinde.

Los hackers introdujeron paquetes maliciosos en el paquete GSM original de Android para eludir la protección proporcionada por Google Play. “La ubicación del código incrustado merece atención”, dice Shinde. “El paquete com.google.android.gms es el original utilizado por Google Mobile Services (GMS). En este caso, se introdujo un paquete llamado logs para evadir los sistemas de detección”.

Todas las cadenas del código malicioso están ofuscadas. “La técnica de encriptación utilizada es simple, pero ha completado satisfactoriamente su función”, constata Shinde. “Después de descifrar todas las líneas, el código desofuscado reveló todos los secretos que contiene”.

En particular, reveló la capacidad de cargar dinámicamente un archivo dex adicional con un código que reproduce vídeos específicos de YouTube, generando ganancias al autor de estos clips. La capacidad de descargar y activar archivos .dex permite al malware ejecutar cualquier código enviado por el servidor de administración. “Merece la pena destacar que este archivo dex no viene incrustado en la aplicación original, sino que se lo carga en el momento de su ejecución, comenta Deepen Desai, director en jefe de investigaciones y administración operativa de Zscaler. “Esto significa que el desarrollador de la aplicación puede cambiar el código en cualquier momento en secondlib.dex, y ejecutarlo en el dispositivo, sin que el usuario tenga que actualizar la aplicación.”

Las funciones maliciosas ocultas también incluían un modo de espera para el componente de adware, que no lo activa sino hasta seis horas después de la instalación. Los investigadores creen que esta técnica ayudó a las aplicaciones maliciosas a eludir el escáner Verifyapps de Google Play. Lo que pasa es que Verifyapps ejecuta la aplicación sólo por unos pocos minutos para analizar su comportamiento.

El nuevo malware también puede recibir del servidor de administración un comando para ocultar o revelar su icono, para no despertar sospechas en el usuario. “El icono de la aplicación se oculta si la aplicación no se utiliza durante cinco días”, se afirma en el blog de Zscaler. “En la mayoría de los casos… esto es suficiente para que el usuario no sepa de dónde viene la molesta publicidad”.

Google no respondió a las solicitudes de comentarios enviadas por Threatpost.

Según Desai, las aplicaciones potencialmente peligrosas fueron eliminadas de Google Play 24 horas después de la aparición de la primera. Aparte de la tienda oficial de Google, no se los ha detectado en ninguna otra parte, a excepción de los videos publicitados por el adware en YouTube. “Encontramos un vídeo de YouTube para el juego Eight Note Jump, que está ganando popularidad en el último mes”, dice Desai. “En la descripción de este vídeo, el autor de la publicación citó un enlace de descarga que apunta a una de las aplicaciones maliciosas”.

Fuente: Threatpost