Un plugin malicioso esconde Adware en cientos de aplicaciones de Google Play

Google está haciendo limpieza de su tienda de aplicaciones después de que se descubrieran cientos de aplicaciones que habían pasado su filtro de seguridad y propagaban adware entre los usuarios de Google Play. Combinadas, las aplicaciones se habían instalado más de 440 millones de veces y el adware que instalaban bombardeaba los dispositivos con tanta intensidad que los dejaba inoperantes.

La amenaza, que es un plugin que recibió el nombre de BeiTaAd, se encontraba en 238 aplicaciones disponibles en la tienda de aplicaciones oficial Google Play. “Combinadas, estas aplicaciones han sido descargadas más de 440 millones de veces, haciendo que esta familia sea única en su prevalencia y en el grado de ofuscación utilizado para esconder la existencia del plugin”, dijo Balaam. “Aunque la mayoría de las aplicaciones gratuitas para teléfonos ganan dinero gracias a plugins y herramientas de desarrollo de software (SDK) publicitario, la persistencia de las publicidades en esta familia en particular y lo lejos que llegaron sus desarrolladores para esconder su existencia, hacen que este plugin sea preocupante”.

La amenaza fue descubierta por la ingeniera de seguridad de Lookout, Kristina Balaam, que indicó que el plugin malicioso mostraba publicidades a la fuerza en la pantalla de bloqueo del dispositivo, abría videos y audios aunque el teléfono no estuviera en uso y abría publicidades externas a la aplicación que evitaban que el usuario pudiese operar su teléfono con normalidad.

Todas las aplicaciones que tenían el plugin pertenecían a la firma de Internet CooTex, con sede en Shanghai cuya aplicación más conocida es TouchPal, una aplicación de teclado. “Todas las aplicaciones que analizamos y contenían el plugin BeiTaAd fueron publicadas por CooTek, y todas las aplicaciones de CooTek que analizamos contenían el plugin”, explicó Kristina Balaam. “El desarrollador también se esforzó muchísimo para esconder la presencia del plugin en la aplicación , lo que sugiere que podrían haber estado al tanto de los conflictos que el SDK podría generar. Sin embargo, no podemos atribuir BeiTa a CooTek con certeza absoluta”.

CooTek respondió a las acusaciones asegurando que jamás tuvo malas intenciones y que estuvo tomando medidas para controlar el comportamiento del SDK incluso antes de que la compañía de seguridad y Google se enteraran del problema. “El módulo que menciona el informe es un SDK para ganar dinero en nuestras versiones anteriores y no fue creado para propagar adware. Ya nos habíamos percatado del problema antes de que se publicara el informe y habíamos desactivado las funciones publicitarias del SDK en cuestión hace varios meses. Después, eliminamos el módulo por completo el mes pasado”.

Esta no es la primera vez que las aplicaciones de Google Play exponen a sus usuarios a ataques e incomodidades. Es por ello que los expertos en seguridad recomiendan no bajar la guardia ante cualquier situación y aplicación que parezca sospechosa, aun cuando se encuentre en espacios que deberían ser de confianza como las tiendas oficiales de aplicaciones.

Fuentes
238 Google Play apps with >440 million installs made phones nearly unusable • Ars technical
Obfuscated ad plugin found in 238 apps on Google Play Store • IT Wire
Once again, Google Play Store apps with ties to China are wreaking havoc • Yahoo News