Los investigadores de seguridad de Lookout detallan un nuevo caso de malware que se logró infiltrar en Google Play. En esta ocasión se trata de un plug-in incluído en cientos de aplicaciones que mostraba una publicidad tan insistente que resultaba difícil usar un móvil afectado.
El plug-in en cuestión recibe el nombre de BeiTaAd y estaba integrado en todas las apps analizadas de la desarrolladora china CooTek. En total, todas las apps afectadas sumaban 440 millones de descargas, incluyendo apps muy conocidas como TouchPal y varias apps de fitness como HiFit o ManFit.
Publicidad por todas partes
TouchPal, con más de cien millones de descargas, es la app más popular que incluía BeiTaAd
En esencia, BeiTaAd no es muy distinto de otros casos de publicidad no deseada integrada en Android que hemos visto con anterioridad. Básicamente, lo que hace este plug-in es mostrar publicidad incesantemente en el móvil.
Los anuncios impedían responder llamadas, desbloquear el móvil o usar otras apps
Esto es, después de un periodo de "incubación" de 24 horas después de la instalación de la aplicación que lo contiene. Los anuncios más obstrusivos pueden tardar en aparecen hasta dos semanas. Con este retraso se logra engañar al usuario para evitar que relacione la aplicación recién instalada con la publicidad.
Lo que hace especial a BeiTaAd es la agresividad de los anuncios, que al superponerse en la pantalla cuando menos te lo esperas, dificultaban el uso del móvil. Algunas de las víctimas comentaban en este foro la imposibilidad de responder llamadas, desbloquear el teléfono o interactuar con otras apps, por culpa de la publicidad.
Escondido a plena luz del día
Si BeiTaAd engañaba a los usuarios dejando que pasara un tiempo antes de bombardearles con publicidad, los esfuerzos para despistar a Google Play Protect y el resto de expertos de seguridad no eran menos.
Con sus entrañas cifradas y nombres de archivo engañoso, el plugin de BeiTaAd está diseñado para volar por debajo del radar y que a simple vista no se pueda conocer su existencia. En su última revisión se ejecuta como un plug-in bajo la librería Qihoo360, por lo que no se instala como aplicación y por tanto no es tan fácil como desinstalar este plug-in, sino que necesitas eliminar la app que lo está cargando.
No aparece como app instalada, aunque se puede ver que está detrás de la publicidad en la vista de Recientes
A pesar de ello, es posible ver en algunos momentos que es efectivamente el plugin BeiTa el que está mostrando la publicidad, por ejemplo en la vista de recientes de Android. La buena noticia es que la publicidad cesará tan pronto como desinstales la aplicación causante.
La amenaza ya fue erradicada
ManFit y otras muchas apps afectadas siguen en Google Play, pero con nuevas versiones que no incluyen BeiTaAd
Los investigadores de Lookout encontraron 238 aplicaciones que incluían el plug-in de BeiTa en Google Play, con una suma de más de 400 millones de descargas en total, pero la buena noticia es que todas ellas han sido o bien eliminadas de Google Play o bien actualizadas con una nueva versión que ya no incluye el plug-in.
Puedes ver la lista completa de aplicaciones aquí, al final del documento. Si tienes una versión antigua de una de esas aplicaciones instaladas, lo mejor es que la actualices o desinstales, especialmente si has estado recibiendo publicidad sospechosa en el móvil.
Vía | Ars Technica
Ver 16 comentarios