Por un motivo u otro, el malware logra infiltrarse de vez en cuando en Google Play. Google está intentando remediarlo con iniciativas como Google Play Protect y el uso de algoritmos para distinguir las aplicaciones potencialmente dañinas de las que no, pero al mismo tiempo estas aplicaciones maliciosas siguen evolucionando.
Ahora de mano de los expertos en seguridad Lookout recibimos informacion de un nuevo malware que, por suerte, ya ha sido neutralizado. En esta ocasión el componente dañino eran algunas versiones del SDK de publicidad chino lgexin, integrado en al menos 500 aplicaciones en Google Play, que suman más de cien millones de descargas.
La publicidad te espía
La alternativa a tener que crear todo desde cero es usar componentes creados por terceras personas, como es el caso de los SDK. Quienes apostaron por el SDK publicitario de lgexin se llevaron más de lo que pidieron: sus aplicaciones se convirtieron en un caballo de troya desde el que espiar a los usuarios e intentar instalar aplicaciones en segundo plano.
Lookout no ha revelado exactamente qué aplicaciones han sido afectadas por la mala práctica de algunas versiones de este SDK pues, en cierto modo, también han sido víctimas. Este comportamiento malicioso del SDK estaba realmente escondido e incluso podía modificarse desde la red, de modo que poco la noticia probablemente ha pillado por sorpresa a los desarrolladores como a los usuarios. Sí nos ha dado detalles genéricos sobre algunas de estas aplicaciones:
- Juegos para adolescentes, uno de ellos con más de 50 millones de descargas.
- Aplicaciones para ver el tiempo, una de ellas con más de un millón de descargas.
- Aplicaciones de radio, con unas 500.000 descargas.
- Editores de foto, con más de un millón de descargas
- Aplicaciones educativas, de salud, viaje, emojis, vídeos
Según el estudio de Lookout, el SDK de lgexin descargaba desde Internet fragmentos de código, plugins, que modificaban por completo el funcionamiento del mismo. Aquí el daño está limitado por el sistema de permisos de Android, pero muchos de estos plugins se quedaban a la escucha para enviar a sus servidores tu registro de llamadas.
El SDK de lgexin descargaba este plugin espía de llamadas cuando detectaba que la aplicación en la que estaba incluido tenía permiso READ_PHONE_STATE y una base de datos, lo cual es un buen recordatorio para desconfiar de las aplicaciones que piden demasiados permisos.
Ya estás a salvo... al menos de esto
Las buenas noticias son que Lookout ya comunicó estos problemas a Google y a los desarrolladores y todas las aplicaciones afectadas han sido eliminadas de Google Play o actualizadas con nuevas versiones que no usan este SDK de lgexin o una versión más actualizada. En este caso, es una buena idea mantener tus aplicaciones actualizadas.
Es cierto que el sistema de permisos en cierto modo le ha parado los pies a este malware para que su efecto sea menor, pero está claro que todavía queda mucho por hacer en Android para protegernos frente a la picaresca de quienes buscan el beneficio a cualquier coste. A nadie le gusta la publicidad, pero que además te espíe y robe tus datos es otro nivel.
Más información | Lookout
En Xataka Android | Siete consejos para evitar malware en Android
Ver 3 comentarios