Cómo las aplicaciones maliciosas se abren camino en Play Store a pesar de los muros de seguridad

En los últimos meses, se identificaron y eliminaron con éxito varias aplicaciones maliciosas de Android de Play Store de Google. Pero el ciclo de descubrimiento y eliminación de malware de Android no parece terminar pronto. Solo en septiembre, los investigadores descubrieron un total de 172 aplicaciones infectadas con más de 335 millones de instalaciones.

Recientemente, los investigadores de Trend Micro informaron 49 nuevas aplicaciones de adware en Google Play, disfrazados de juegos y cámaras estilizadas. Aunque ya no están online (las apps), las partes respectivas todavía están subiendo nuevas versiones, según el informe.

Cómo las aplicaciones maliciosas logran estar arriba

Hay innumerables solicitudes de instalación de aplicaciones todos los días, y Google Play utiliza una variedad de barreras para rechazar aplicaciones que se consideran maliciosas. A pesar de eso, muchas veces los estafadores encuentran nuevas formas de engañar a Google para que acepte sus envíos.

Investigadores de Bitdefender Labs detallaron las técnicas utilizadas por los actores de amenazas para evitar los filtros de seguridad implementados por Google en su reciente documento técnico. A continuación te mostramos algunas de esas técnicas:

Cifrado lógico y codificación ofuscada: los desarrolladores optan por no incluir la lógica principal de una aplicación en el código estándar y confían en una biblioteca dinámica ejecutable nativa. El código posterior se descifra y se carga mientras se oculta la funcionalidad maliciosa hasta que la aplicación se descarga y se ejecuta en el dispositivo de la víctima. A veces, el código también está muy ofuscado para eludir la seguridad.

Verificaciones de tiempo y duración de visualización de anuncios: según los investigadores, las aplicaciones maliciosas verifican que la hora del sistema sea de al menos 18 horas desde un valor de tiempo específico codificado. Solo después de completar esta verificación, las aplicaciones comienzan a ocultar su presencia de los dispositivos de las víctimas. Además, algunas aplicaciones de adware exhiben duraciones de tiempo más largas entre la visualización de anuncios (hasta 350 minutos estándar) para evitar sospechas del usuario.

Bibliotecas de utilidad de código abierto: las bibliotecas de código abierto, como Evernote o Dropbox, se utilizaron para extraer y ejecutar trabajos en segundo plano en lugar de una API de Android. Las aplicaciones maliciosas también las utilizan para la actividad «ShowAds» o «ShowAdsHideIcon».

SDK limpios (inicialmente): los desarrolladores de aplicaciones malintencionadas implementan una versión limpia de su aplicación al principio, solo para luego reemplazarla por la incluida con adware. Estas funcionalidades maliciosas se introducen gradualmente con actualizaciones y también cambiando la configuración y el comportamiento de las aplicaciones.

Además de esto, existen otras técnicas que los desarrolladores de aplicaciones maliciosas adoptaron para eludir el sistema de investigación de aplicaciones de Google. Los desarrolladores de aplicaciones también envían una base de código idéntica a través de diferentes cuentas de desarrollador, y algunos utilizan la configuración del servidor remoto o comandos para ocultar el código malicioso.

Los próximos movimientos de Google para mejorar la seguridad de Android

Recientemente, Google anunció su colaboración con ESET, Lookout y Zimperium para evitar de manera más efectiva que las aplicaciones maliciosas lleguen a Play Store. Al nombrar la iniciativa como App Defense Alliance, la compañía de tecnología con sede en EE. UU. Dice que la alianza ayudará a reducir el riesgo de malware basado en aplicaciones y protegerá a más de 2.5 millones de usuarios de Android de nuevas amenazas.

Las dos amplias responsabilidades compartidas por las partes interesadas incluyen garantizar la seguridad de Google Play Store y encontrar rápidamente aplicaciones potencialmente dañinas y evitar que se publiquen.

En abril, el gigante de las búsquedas también había dicho que llevará más tiempo revisar las aplicaciones de los desarrolladores con cuentas recién creadas.