Google Play Store de Android está llena de apps que tienen un comportamiento malicioso. Aplicaciones que prometen hacer una cosa, pero que en realidad tienen funciones ocultas y que han encontrado un blanco perfecto que no se va a dar cuenta de este comportamiento: los niños. 24 de las 56 apps detectadas que usaban esta técnica estaban orientadas a niños. Las aplicaciones ya han sido borradas de la Google Play Store, elimina cualquiera de estas apps de tu teléfono si tienes alguna instalada.
Imagen por fizkes vía Shutterstock
Apodado «Tekya», el malware en las aplicaciones imitaba las acciones de los usuarios para hacer clic en anuncios de redes publicitarias como AdMob de Google, AppLovin, Facebook y Unity, señaló la firma de ciberseguridad Check Point Research en un informe compartido con The Hacker News. «Veinticuatro de las aplicaciones infectadas estaban dirigidas a niños (desde rompecabezas hasta juegos de carreras), y el resto son aplicaciones de utilidad (como aplicaciones de cocina, calculadoras, descargadores, traductores, etc.)», dijeron los investigadores.
Si bien las aplicaciones ofensivas se han eliminado de Google Play, el hallazgo de Check Point Research es el último de una avalancha de esquemas de fraude publicitario que ha plagado la tienda de aplicaciones en los últimos años, con malware que se hace pasar por optimizador y aplicaciones de utilidad para realizar clics falsos en anuncios.
Malware abusa de MotionEvent API para simular clics de usuario
Al afirmar que la campaña clonó aplicaciones populares legítimas para ganar audiencia. Las aplicaciones recientemente descubiertas se encontraron eludiendo las protecciones de Google Play Store al ofuscar su código nativo y confiando en la API MotionEvent de Android para simular los clics de los usuarios.
Una vez que un usuario involuntario instaló una de las aplicaciones maliciosas, el malware Tekya registra un receptor. Un componente de Android que se invoca cuando ocurre un determinado evento del sistema o aplicación, como un reinicio del dispositivo o cuando el usuario está utilizando el teléfono de forma activa.
La lista que han compartido los investigadores de CheckPoint es la siguiente:
El receptor, cuando detecta estos eventos, procede a cargar una biblioteca nativa llamada «libtekya.so». Esto incluye una subfunción llamada «sub_AB2C», que crea y despacha eventos táctiles, imitando así un clic a través de la API MotionEvent.
Un problema continuo de fraude publicitario móvil
El fraude publicitario móvil se manifiesta de diferentes maneras, incluidos los actores de amenazas que colocan anuncios con malware en los teléfonos de los usuarios o incrustan malware en aplicaciones y servicios en línea para generar clics de manera fraudulenta para recibir pagos de las redes publicitarias.
El análisis del proveedor de seguridad móvil Upstream de los datos de 2019 reveló que las aplicaciones favoritas para ocultar el malware de fraude publicitario son aquellas que pretenden mejorar la productividad o mejorar la funcionalidad del dispositivo. Casi el 23 por ciento de los anuncios maliciosos de Android que Upstream encontró el año pasado cayeron en esta categoría. Otras aplicaciones que los atacantes usaban con frecuencia para ocultar malware incluían aplicaciones de juegos, entretenimiento y aplicaciones de compras.
Google, por su parte, ha estado tratando activamente de evitar que las aplicaciones de Android no autorizadas se infiltraran en Google Play Store. Aprovechó Google Play Protect como medio para detectar aplicaciones potencialmente dañinas y también forjó una «App Defense Alliance» en asociación con las empresas de seguridad cibernética ESET, Lookout y Zimperium para reducir el riesgo de malware basado en aplicaciones.
