Cuidado si tienes una de estas apps instaladas en tu Android: convierten tu móvil en un proxy para una red maliciosa

Investigadores de seguridad del equipo de investigación e inteligencia sobre amenazas de Satori, de Human Security, han revelado un nuevo tipo de amenaza acechando en aplicaciones maliciosas de de Google Play: aplicaciones que convierten tu móvil en un proxy que otras personas pueden usar para navegar por Internet.

Unas 28 aplicaciones fueron identificadas por el equipo, la mayoría de ellas VPN, y ya han sido eliminadas de Google Play, aunque si tuvieras alguna de ellas todavía instalada en tu móvil deberías eliminarla cuanto antes pues posibilitan que otras personas -y atacantes- usen tu conexión a Internet sin que lo sepas.

Tu móvil se convierte en proxy y ni lo sabes

El malware sigue acechando en Google Play y en todas sus formas. La última no intenta robar tus datos bancarios o contraseñas, sino usar tu móvil como nodo de una red proxy y sin que lo sepas. Esto no es algo inaudito en Android: es lo mismo que ofrece la polémica Hola VPN pero con una gran diferencia: Hola VPN avisa de lo que hace y te da a ti acceso a la conexión de otros usuarios.

En Xataka Android

Qué es el malware, qué tipos hay y qué puedes hacer si infecta tu móvil

Los investigadores han denominado a esta operación como ProxyLIB al tratarse de una librería distribuida a través de un SDK, LumiApps SDK, que se ofrece a los desarrolladores de aplicaciones como un nuevo modo de monetizar sus aplicaciones: vender las conexiones a Internet de sus usuarios y, lo mejor de todo, sin que lo sepan.

Esquema de la arquitectura de ProxyLib, por Human Security

ProxyLib fue encontrado por primera vez en Google Play el año pasado en Oko VPN, aunque con el tiempo fueron apareciendo más aplicaciones que incluyeron este SDK y han acabado publicándose en Google Play.

Quizá lo más peligroso del asunto es que el SDK de LumiApps, que incluye el código malicioso para convertir cualquier aplicación en malware, es tremendamente fácil de usar: subes un APK y te descargas la versión con malware de regalo, lista para distribuir. Según los investigadores de seguridad, esto está provocando que se incluya en MODs de aplicaciones, pues no es necesario tener acceso al código fuente original de la aplicación.

Dos de las aplicaciones con malware

Resulta curioso que al parecer el SDK malicioso cuenta en su código con una pantalla de aviso donde se informa a los usuarios de que aceptan compartir su conexión a Internet con desconocidos a cambio de usar la aplicación, pero los investigadores de Human Research afirman no haber visto este aviso en ninguno de los casos. El SDK añade el código malicioso pero no la ventana de aviso.

Para los usuarios, que su móvil se convierta en un nodo de una red proxy es un grave problema de seguridad, pues no pueden saber para qué se va a usar su conexión a Internet y en muchos casos se usará para realizar actividades ilegales como ataques coordinados, spam o similares.

Para los atacantes, usar una red proxy les permite enmascarar sus direcciones IP para que las conexiones parezcan provenir de una serie de usuarios de a pie y no como parte de un ataque coordinado de un origen concreto.

En total encontraron 28 aplicaciones disponibles en Google Play con esta librería en su interior. Si bien no están en Google Play, es posible que todavía las tengas en el móvil si las instalaste antes. Puedes comprobar los nombres de paquete de las aplicaciones instaladas con una aplicación como App Checker. Si alguna de esos nombres coincide con los siguientes, es recomendable que las desinstales: