Las apps con adware en Google Play que no se pueden eliminar

ActualidadRedes SocialesSmartphonesAndroidGoogle

Las apps con adware en Google Play que no se pueden eliminar

Varias apps populares de Google Play están manipuladas con una librería de terceros que abre constantemente ventanas con publicidad, incluso si el usuario intenta cerrarlas.

SophosLabs detectó la librería MarsDae la semana pasada identificándola como App/MarsDae-A. Hasta ahora, más de 40 apps en Google Play usan esta librería, que ha sido descargada más de 6 millones de veces. Sophos protege a sus clientes de estas apps.

La librería es compatible con Android 2.3 hasta Android 6, en dispositivos de Samsung, Huawei, Meizu, Mi y Nexus. Su principal función es mantener vivo adware aunque el usuario fuerce su parada o intente eliminarlo.

Google Play ha eliminado algunas de estas apps, pero muchas aún están disponibles. Esta es la lista de los paquetes infectados:

cn.etouch.ecalendar.life

com.aimobo.weatherclear

com.ali.money.shield

com.anti.block.porn.safebrowser

com.app.fast.boost.cleaner

com.app.wifi.recovery.master

com.baiwang.facesnap

com.block.puzzle.game.king

com.booster.ram.app.master.clean

com.card.game.bl.plugintheme21

com.card.game.bl.plugintheme22

com.card.game.bl.plugintheme23

com.cardgame.solitaire.sfour

com.clean.phone.boost.android.junk.cleaner

com.cleaner.booster.speed.junk.memory

com.color.paper.style

com.corous360.zipay

com.desk.paper.watch

com.exact.digital.ledcompass

com.free.sudoku.puzzle

com.freegames.happy.popcandy

com.freegames.popstar

com.freegames.popstar.exterme

com.gmiles.alarmclock

com.gmiles.switcher

com.insta.browser

com.listen.music.pedometer

com.ljapps.wifix.recovery.password

com.mg.callrecord

com.mola.tools.mbattery

com.mola.tools.openweather

com.mx.cool.videoplayer

com.news.boost.clean

com.ojhero.nowcall

com.phonecooler.battery.cleaner.wifimaster

com.picture.photo.editor

com.powercleaner

com.red.music.audio.player

com.riti.elocation.driver

com.samll.game.puzzle.plus

com.smartx.flashlight

com.tool.powercleanlite

com.tool.videomanager

com.tools.freereminder

com.wise.trackme.activity

org.mbj.filemanager

org.mbj.sticker

¿Qué ocurre?

En el siguiente ejemplo, vemos la librería usada por la app “Snap Pic Collage Color Splash” que ha sido descargada de Google Play más de 50.000 veces.

En cuanto se instala la app, surgirán ventanas de publicidad en la página de inicio del usuario como la siguiente:

Incluso si fuerzas la parada desde la configuración del sistema, la publicidad reaparecerá a los pocos segundos.

¿Cómo funciona?

Una vez instalada, la app sigue una serie de pasos para mantener el funcionamiento de los anuncios publicitarios:

1, Ejecuta un código que lanza una serie de procesos.

2. Crea un fichero y después lo bloquea.

3. Cada proceso crea un fichero. Por ejemplo, el proceso A crea a2 y comprueba constantemente si el proceso B ha creado el fichero b2 y viceversa.

4. Si el proceso A encuentra el fichero b2, significa que el proceso B ha creado y bloqueado el fichero b1. Entonces el proceso A puede eliminar el fichero b2 y el proceso B hará lo mismo con a2

5. El proceso A vigila que el fichero b1 esté bloqueado mientra que el proceso B vigila el a1. Si algún fichero es desbloqueado entonces significa que el proceso relacionado está muerto por lo que se pasa a crear uno nuevo.

Pese a lo inteligente del sistema, al final lo que se consigue es acabar con la reputación de la app en Google Play. Muchos usuarios ya han publicado sus quejas:

Medidas de defensa

Como hemos mencionado anteriormente, SophosLabs ha identificado y protegido a sus clientes de esta amenaza.

Nuestro consejo es que si ves estas apps en Google Play no las descargues. Continuaremos trabajando con Google para eliminar todas las apps afectadas.

Este es otro ejemplo que demuestra la importancia de instalar un antivirus en nuestros dispositivos Android, como Sopphos Mobile Security para Android que además es gratuito.

Al bloquear la instalación de apps maliciosas o no deseadas, incluso si proceden de Google Play, podemos escapar de muchos problemas.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s