Las apps con adware en Google Play que no se pueden eliminar
Varias apps populares de Google Play están manipuladas con una librería de terceros que abre constantemente ventanas con publicidad, incluso si el usuario intenta cerrarlas.
SophosLabs detectó la librería MarsDae la semana pasada identificándola como App/MarsDae-A. Hasta ahora, más de 40 apps en Google Play usan esta librería, que ha sido descargada más de 6 millones de veces. Sophos protege a sus clientes de estas apps.
La librería es compatible con Android 2.3 hasta Android 6, en dispositivos de Samsung, Huawei, Meizu, Mi y Nexus. Su principal función es mantener vivo adware aunque el usuario fuerce su parada o intente eliminarlo.
Google Play ha eliminado algunas de estas apps, pero muchas aún están disponibles. Esta es la lista de los paquetes infectados:
cn.etouch.ecalendar.life
com.aimobo.weatherclear
com.ali.money.shield
com.anti.block.porn.safebrowser
com.app.fast.boost.cleaner
com.app.wifi.recovery.master
com.baiwang.facesnap
com.block.puzzle.game.king
com.booster.ram.app.master.clean
com.card.game.bl.plugintheme21
com.card.game.bl.plugintheme22
com.card.game.bl.plugintheme23
com.cardgame.solitaire.sfour
com.clean.phone.boost.android.junk.cleaner
com.cleaner.booster.speed.junk.memory
com.color.paper.style
com.corous360.zipay
com.desk.paper.watch
com.exact.digital.ledcompass
com.free.sudoku.puzzle
com.freegames.happy.popcandy
com.freegames.popstar
com.freegames.popstar.exterme
com.gmiles.alarmclock
com.gmiles.switcher
com.insta.browser
com.listen.music.pedometer
com.ljapps.wifix.recovery.password
com.mg.callrecord
com.mola.tools.mbattery
com.mola.tools.openweather
com.mx.cool.videoplayer
com.news.boost.clean
com.ojhero.nowcall
com.phonecooler.battery.cleaner.wifimaster
com.picture.photo.editor
com.powercleaner
com.red.music.audio.player
com.riti.elocation.driver
com.samll.game.puzzle.plus
com.smartx.flashlight
com.tool.powercleanlite
com.tool.videomanager
com.tools.freereminder
com.wise.trackme.activity
org.mbj.filemanager
org.mbj.sticker
¿Qué ocurre?
En el siguiente ejemplo, vemos la librería usada por la app “Snap Pic Collage Color Splash” que ha sido descargada de Google Play más de 50.000 veces.
En cuanto se instala la app, surgirán ventanas de publicidad en la página de inicio del usuario como la siguiente:
Incluso si fuerzas la parada desde la configuración del sistema, la publicidad reaparecerá a los pocos segundos.
¿Cómo funciona?
Una vez instalada, la app sigue una serie de pasos para mantener el funcionamiento de los anuncios publicitarios:
1, Ejecuta un código que lanza una serie de procesos.
2. Crea un fichero y después lo bloquea.
3. Cada proceso crea un fichero. Por ejemplo, el proceso A crea a2 y comprueba constantemente si el proceso B ha creado el fichero b2 y viceversa.
4. Si el proceso A encuentra el fichero b2, significa que el proceso B ha creado y bloqueado el fichero b1. Entonces el proceso A puede eliminar el fichero b2 y el proceso B hará lo mismo con a2
5. El proceso A vigila que el fichero b1 esté bloqueado mientra que el proceso B vigila el a1. Si algún fichero es desbloqueado entonces significa que el proceso relacionado está muerto por lo que se pasa a crear uno nuevo.
Pese a lo inteligente del sistema, al final lo que se consigue es acabar con la reputación de la app en Google Play. Muchos usuarios ya han publicado sus quejas:
Medidas de defensa
Como hemos mencionado anteriormente, SophosLabs ha identificado y protegido a sus clientes de esta amenaza.
Nuestro consejo es que si ves estas apps en Google Play no las descargues. Continuaremos trabajando con Google para eliminar todas las apps afectadas.
Este es otro ejemplo que demuestra la importancia de instalar un antivirus en nuestros dispositivos Android, como Sopphos Mobile Security para Android que además es gratuito.
Al bloquear la instalación de apps maliciosas o no deseadas, incluso si proceden de Google Play, podemos escapar de muchos problemas.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: