Google ha eliminado recientemente un conjunto de apps maliciosas de Android de la Play Store oficial. ¿La razón? Fueron capturadas mostrando anuncios fuera de contexto y redireccionamientos intrusivos del navegador en teléfonos Android.
La compañía de mitigación de bots White Ops, que descubrió e informó las aplicaciones maliciosas al equipo de seguridad de Google, dijo que las aplicaciones fueron desarrolladas por el mismo grupo criminal.
Los investigadores dijeron que el grupo creó al menos 38 apps maliciosas de Android orientadas a bombardear a los usuarios con anuncios. Pero que las aplicaciones recientes se habían modificado para deshabilitar las funciones de adware malicioso dentro del código fuente. ¿Para qué? Lo más probable para evitar los escaneos de seguridad de Google Play Store durante el envío y aprobación de la aplicación proceso.
Ocultar el código malicioso era necesario porque cuando el grupo comenzó a crear las aplicaciones de adware, no tuvieron mucho éxito.
La operación comenzó en enero de 2019
White Ops dice que el grupo ha estado activo desde enero de 2019, cuando comenzó a cargar aplicaciones en la Play Store oficial. Veintiuna de las 38 apps maliciosas de Android del grupo se cargaron en Play Store durante esta fase inicial de su operación.
Todas las aplicaciones se centraron en temas relacionados con la belleza, como aplicaciones para tomar selfies o aplicaciones que agregaron varios filtros a las fotos de los usuarios. Sin embargo, una vez instaladas, las aplicaciones llenaron de anuncios a los usuarios, abrieron navegadores a un anuncio en línea e intentaron evitar que los usuarios los desinstalaran ocultando los íconos de sus aplicaciones.
Sin embargo, estas aplicaciones no eran muy sofisticadas. Si bien pasaron las revisiones iniciales de Google, las aplicaciones finalmente se detectaron como maliciosas.
White Ops dice que la mayoría de estas aplicaciones duraron, en promedio, alrededor de 17 días antes de ser eliminadas de la tienda de aplicaciones.
Sin embargo, a pesar de la corta vida útil de 17 días, la mayoría de las aplicaciones lograron el siguiente número, con un promedio de 565,833 instalaciones.
Modus operandi cambió el otoño pasado
Pero White Ops dice que el grupo no se quedó de brazos cruzados mientras Google seguía retirando sus aplicaciones iniciales. Para septiembre de 2019, el grupo había cambiado sus tácticas al adoptar dos métodos para ocultar el código malicioso de bombardeo publicitario de sus aplicaciones.
El primero fue usar caracteres árabes en varios lugares del código fuente de sus aplicaciones. La idea era evitar que los ingenieros inversos de Google detectaran funciones maliciosas deslumbrantes mediante el uso de texto en árabe en lugar de inglés e incluso el uso de versos del Corán en algunos lugares.
En segundo lugar, el grupo también comenzó a quitar el código malicioso de plano. Desde septiembre de 2019, el grupo ha estado ocupado cargando un lote de 15 aplicaciones de belleza que tenían deshabilitada toda su funcionalidad de explosión de anuncios maliciosos.
Esto significa que las aplicaciones son «técnicamente» limpias y legítimas. Pero el código podría volver a agregarse mediante una actualización en cualquier momento en el futuro; White Ops cree que es muy probable.
Sin embargo, dado que las aplicaciones provienen de un actor de amenazas conocido, Google ha eliminado las aplicaciones para estar seguras.
Según White Ops, las 38 aplicaciones maliciosas se habían descargado más de 20 millones de veces desde que comenzó la operación del grupo en enero de 2019. Este es un número bastante grande de usuarios afectados para una operación que ni siquiera era muy
Lista de apps maliciosas de Android identificadas
