Más de 500 diferentes aplicaciones de Android que se han descargado más de 100 millones de veces de la tienda oficial de Google Play se encuentran infectadas con anuncios maliciosos.
Secretamente distribuye software espía a los usuarios y puede realizar operaciones peligrosas.
Dado que el 90% de las aplicaciones de Android es gratuito para descargar desde Google Play Store, la publicidad es una fuente clave de ingresos para los desarrolladores de aplicaciones.
Para ello, integran la biblioteca de anuncios SDK de Android en sus aplicaciones, que normalmente no afecta a la funcionalidad principal de una aplicación.
Pero los investigadores de seguridad de la firma de seguridad móvil Lookout han descubierto un kit de desarrollo de software (SDK), denominado Igexin, que se ha encontrado un software espía en dispositivos Android.
Desarrollado por una empresa china para ofrecer servicios de publicidad dirigidos a los desarrolladores de aplicaciones, el software de publicidad «Igexin» fue detectado en más de 500 aplicaciones en el mercado oficial de Google, la mayoría de las cuales incluían:
- Juegos dirigidos a adolescentes con hasta 100 millones de descargas
- Aplicaciones meteorológicas con hasta 5 millones de descargas
- Photo editor apps con 5 millones de descargas
- Aplicación de radio por Internet con 1 millón de descargas
- Otras aplicaciones orientadas a la educación, salud y fitness, viajes y emoji
Firma de publicidad china espía a usuarios de Android
El Igexin SDK fue diseñado para que los desarrolladores de aplicaciones puedan publicar anuncios dirigidos a sus usuarios y generar ingresos.
Para ello, SDK también recopila datos de usuario para ayudar a segmentar anuncios basados en intereses.
Pero además de recolectar datos de usuarios, los investigadores de Lookout dijeron que encontraron que el SDK se comportó maliciosamente después de haber detectado varias aplicaciones integradas a Igexin, que se comunican con direcciones IP maliciosas, y entregan software malicioso a dispositivos sin el conocimiento de los creadores de aplicaciones que lo utilizan.
«Observamos una aplicación que descarga archivos grandes y cifrados después de hacer una serie de peticiones iniciales a una API REST en http: // sdk [.] Open [.] Phone [.] Igexin.com/api.php, que es un punto final Utilizado por el Igexin ad SDK «, explican los investigadores en un blog.
«Este tipo de tráfico es a menudo el resultado de un malware que descarga y ejecuta código después de instalar una aplicación» limpia «inicial, con el fin de evadir la detección».
Una vez que el malware se integra a los dispositivos infectados, el SDK puede recopilar registros de información de usuarios del dispositivo y también puede instalar de forma remota otros complementos a los dispositivos, lo que podría acceder a registros de llamadas o revelar información sobre las actividades de los usuarios.
Cómo proteger su Android de este malware
Google ha eliminado todas las aplicaciones de Android que utilizan el SDK fraudulento de su mercado de Play Store, pero los que ya han instalado una aplicación de este tipo en sus teléfonos móviles, asegúrese de que su dispositivo tenga Google Play Protect.
Google Play Protect es la nueva funcionalidad de seguridad de Google, que utiliza el aprendizaje de las máquinas y el análisis del uso de las aplicaciones para eliminar (desinstalar) aplicaciones maliciosas de los usuarios con teléfonos inteligentes Android para evitar más daños.
Además, se recomienda encarecidamente que mantenga siempre una buena aplicación antivirus en su dispositivo que pueda detectar y bloquear aplicaciones malintencionadas antes de que puedan infectar su dispositivo y que mantenga siempre el dispositivo y las aplicaciones actualizados.
El malware de Android continúa evolucionando con capacidades más sofisticadas e inéditas con cada día que pasa.
El mes pasado, vimos el primer malware de Android con capacidades de inyección de código haciendo rondas en Google Play Store.
Unos días después, los investigadores descubrieron otra maliciosa librería de anuncios Android SDK , denominada «Xavier» , que se encuentra instalada en más de 800 aplicaciones diferentes que se descargaron millones de veces desde Google Play Store.