De cuando en cuando se extienda la noticia de malware descubierto en Google Play, a lo cual Google responde resaltando todo el malware al cual ha parado los pies con Google Play Protect y la promesa de una revisión más exhaustiva. Aún así, es fácil encontrar malware en Google Play: está en el top de descargas.
No hemos tenido que buscar demasiado para toparnos con una aplicación maliciosa en Google Play, que ni siquiera se esconde demasiado. Bajo la apariencia de un editor de PDF lo primero que hace al abrirla es descargar otra app maliciosa e incitarte a que le otorgues permisos especiales.
El malware no se esconde
Según Tim Cook, cargar aplicaciones desde fuera de las tiendas oficiales supone la mayor amenaza para la seguridad de los dispositivos, pero lo cierto es que no es necesario salir de la tienda. Los distribuidores de malware saben cómo saltarse la seguridad de Google Play, para hacer que sus aplicaciones estén disponibles para una mayor cantidad de usuarios.
Con casi 3 millones de aplicaciones en Google Play (según Statista), el malware podría esconderse en cualquier rincón de Google Play, pero no hace falta rebuscar demasiado. En el Top 169 de aplicaciones para España se encuentra PDF+, con más de 10.000 descargas y la promesa de un editor de documentos PDF para abrir, resaltar y anotar. La descripción es una copia de la de PDF Expert en la App Store.
Con una puntuación perfecta de 5.0, con 38 votos, no parece haber motivos para desconfiar de la aplicación, que cuenta con imágenes ilustrativas de aspecto profesional donde se resaltarían sus virtudes (y que poco tienen que ver con lo que te encontrarás al instalarla). Las capturas de pantalla parecen ser de otra app, llamada PDF Reader Pro.
Ya hemos visto con anterioridad lo fácil que es comprar reseñas en Google Play, un mecanismo bien conocido por quienes distribuyen malware. Con suficiente dinero y la promesa de una recompensa, se obliga a los usuarios a descargar aplicaciones y dejar reseñas positivas, haciendo que suban en los tops de descarga. Es bastante común encontrar auténticas app basura en lo más alto de Google Play. La sorpresa llega al instalarla.
Esta app es un timo
Tras abrir la aplicación, la interfaz poco o nada tiene que ver con la previsualización de Google Play. Al abrirla, lo primero que hace es pedirte permiso para instalar una actualización, lo cual es algo raro. Más raro todavía es que esta actualización es un archivo APK que se identifica como Flash Player. Sí, el mismo Flash Player que dejó de tener soporte oficial en 2012. O, mejor dicho, no el mismo, pues es todo una farsa.
En este punto, muchos usuarios comenzarán a sospechar que hay algo raro en la aplicación, pero quienes sigan adelante acabarán de instalar lo que se denomina un troyano bancario, un tipo de malware especializado en tratar de robar las credenciales bancarias, directamente desde Google Play y con Play Protect mirando para otro lado.
Al abrir Flash Player, la aplicación insiste una y otra vez en que la actives como servicio de accesibilidad. Esto le otorgará permiso para ver y controlar la pantalla, además de realizar acciones, interactuando con aplicaciones en tu nombre. Permisos muy útiles para robar credenciales. Dentro de los permisos requeridos por la aplicación se encuentran los de Contactos, SMS y Teléfono.
Mientras que Play Protect de Google en ningún momento interviene para impedir la instalación, tras extraer el APK de la aplicación y subirlo a VirusTotal los resultados hablan por sí solos: 13 antivirus los detectan como malware. La mayoría de ellos lo identifican como un troyano bancario.
Mientras tanto, si usamos el análisis manual de Play Protect, se indica que no se han encontrado aplicaciones dañinas, incluyéndose este Flash Player falso entre las aplicaciones que se han analizado últimamente.
Un análisis pormenorizado del APK de la aplicación nos da algunas pistas más. Primero, el nombre de paquete com.jxmeaxvsxuiyll.nrdp es más un aporreo de teclas que lo que se esperaría de una aplicación real.
En el manifiesto de la aplicación se detalla que la aplicación intercepta todo tipo de eventos que suceden en el móvil: cuándo se enciende, cuándo se pulsa el botón de encendido, cada vez que se enciende o apaga la pantalla, cada vez que se pone a cargar... Básicamente, cualquier evento posible reactiva la aplicación.
En su interior, se encuentran enlaces a productos a la venta en sitios de e-commerce chinos como TMall o Alibaba, así como múltiples referencias a Alipay, Taobao y QuickPay. Haría falta un análisis especializado para comprobar exactamente el funcionamiento exacto, que podría estar relacionado con intentar que el usuario introduzca sus datos bancarios al comprar, para interceptarlos. Hemos probado a activar la aplicación en un emulador, y toma el control del móvil, impidiendo que por ejemplo accedas a sus propiedades (para desinstalarla o forzar su cierre).
No solo eso, sino que la aplicación, al tener permiso de accesibilidad, controla el móvil por si sola, otorgándose permisos automáticamente. Todo esto, recordemos, con una instalación derivada directamente de una aplicación descargada desde Google Play.
Llegados a este punto, lo único que falta por hacer es denunciar la aplicación a Google, algo que si bien está bastante escondido, es posible hacer desde Google Play en el móvil. Una de las opciones disponibles es "perjudicial para el dispositivo / datos", que parece encajar bastante bien.
Hemos denunciado la aplicación a Google
Ahora está en manos de Google tomar acciones, y no solo por este caso concreto, sino por otras muchas aplicaciones de ínfima calidad o directamente maliciosas que suben como la espuma en los tops de descargas de forma fraudulenta. De no ser así, no habrá tanta diferencia en cuanto a seguridad entre instalar aplicaciones desde dentro o fuera de Google Play.
Ver 5 comentarios