Se han descubierto que desarrolladores de aplicaciones fraudulentas de Android intentan manipular la seguridad de Google Play Store, al eliminar el código sospechoso antes de volver a agregarlo para ver qué sistemas de detección se activan.
La compañía de seguridad White Ops, detectó ese comportamiento en dos aplicaciones previamente fraudulentas, lo que plantea una pregunta interesante: si un desarrollador de este tipo de aplicaciones desactiva la parte de una aplicación que hace que su comportamiento sea fraudulento, ¿esa aplicación sigue siendo una aplicación fraudulenta?
Estas, se encontraban entre un pequeño grupo de 38 aplicaciones del mismo desarrollador sobre temas de belleza que, la empresa, detectó que fueron reportadas a Google por bombardear a los usuarios con anuncios no deseados.
Además de publicar anuncios fuera de contexto, las aplicaciones también enviaron a los usuarios a los sitios web y dificultaron la desinstalación de las apps utilizando técnicas como ocultar iconos de la pantalla de inicio y de la carpeta de aplicaciones.
Pero, ¿cómo llegaron las aplicaciones allí en primer lugar?
Este se ha convertido en un problema para el equipo de seguridad de Google en los últimos años. Un vendedor o investigador de seguridad detecta que varias aplicaciones en Play Store están haciendo algo malo, se lo dice a Google, quien finalmente elimina las aplicaciones después de confirmar que son malévolas.
Por supuesto, las aplicaciones cargadas son monitoreadas por los controles de seguridad automatizados de Google antes de ser aceptadas, pero este sistema se puede saltar, como lo confirma el flujo constante pero no verificado de descubrimientos de aplicaciones fraudulentas.
No es tan difícil vencer a los sistemas de detección. Los desarrolladores maliciosos, tienen una variedad de técnicas como el empaquetado binario e incluso el Unicode árabe para ocultar el código malicioso de una manera que es difícil de detectar, sin emplear equipos humanos que comprueben cada aplicación y actualización.
A veces, las apps no contienen ningún código fraudulento y simplemente explotan las lagunas en las licencias de Google para hacer cosas a veces escandalosas, como cobrar a los usuarios cientos de dólares para seguir usándolas.
Pero el mayor fracaso aquí no es que las aplicaciones puedan colarse en Play Store, sino cuánto tiempo permanecen allí.
En este incidente, el tiempo promedio que tardó Google en eliminar aplicaciones fue de 17 días, con al menos uno en Play Store durante tres meses. Eso no suena mucho hasta que lees esto:
Incluso con un promedio de menos de tres semanas en Play Store, las aplicaciones encontraron una audiencia: el promedio de instalaciones para las aplicaciones que analizamos fue de 565.833.
Luego, el desarrollador actualizó inesperadamente dos aplicaciones que contenían código malicioso para que se desactivara la mayor parte del problema.
Eso está desactivado, no eliminado: el cambio se realizó simplemente usando una función de comando y control (C2), dejando el código del problema intacto pero inactivo dentro de las aplicaciones.
Según White Ops, las dos aplicaciones modificadas son posiblemente un intento de determinar qué criterios utilizan los sistemas de Google para detectar que aplicaciones son fraudulentas.
En ese escenario, las aplicaciones pueden actualizarse varias veces, cada una activando una parte diferente del comportamiento malicioso, hasta que Google detecte su intención maliciosa.
Google eliminó las aplicaciones descubiertas por White Ops en 2019, pero es difícil no quedarse con la impresión de que la batalla en curso de Google para desterrar las aplicaciones fraudulentas va a ser larga.
Por este tipo de brechas de seguridad y porque la movilidad laboral y el teletrabajo han pasado a formar parte de nuestro día a día, no puedes perderte el webinar de este viernes 26 de junio, sobre Sophos Mobile, en el que explicaremos como podemos mejorar la seguridad de tus dispositivos móviles. Puedes apuntarte siguiendo este enlace.