Una popular aplicación de Android convertida en malware: revise su teléfono ahora
La semana pasada informamos que Google había eliminado una popular extensión de Chrome porque los nuevos propietarios la convirtieron en una aplicación de malware. En una repetición inquietantemente común, sucedió más o menos lo mismo con una popular aplicación de Android, que se descargó millones de veces en Play Store. De la nada, comenzó a publicar anuncios maliciosos y ahora ya no está.
Malwarebytes documenta cómo los usuarios de su foro comenzaron a informar sobre anuncios emergentes extraños y redireccionamientos a sitios web en sus navegadores móviles hace poco más de un mes. Después de un poco de espionaje por parte del personal del servicio, se determinó que una actualización del 4 de diciembre de "Barcode Scanner" de Lavabird LTD había comenzado a mostrar anuncios de servidores de seguridad innecesarios (y posiblemente fraudulentos) a sus millones de usuarios.
Malwarebytes alertó a Google y la lista de la aplicación se eliminó de Play Store, pero, según se informa, no se desinstaló de forma remota de los teléfonos de los usuarios afectados (como sucedió con la extensión de Chrome). Presuntamente, la aplicación se deslizó por el conjunto de protecciones normalmente sólido de Play Store, Google Play Protect, al instalar el código malicioso como una actualización inocua en lugar de comenzar como una aplicación falsa: se había utilizado sin causar daño durante años antes de la actualización.
Si su aplicación de escáner de código de barras tiene este aspecto, desinstálelo ahora mismo. Escáner de código de barras
No está claro qué provocó el cambio. En el caso de la extensión The Great Suspender, obviamente fueron los nuevos propietarios del servicio los que lo condujeron por un mal camino. Para Barcode Scanner, no hubo un cambio obvio en la propiedad o el comportamiento del desarrollador que convirtió la aplicación en maliciosa. Si se pregunta qué aplicación de enlatador específica es, anteriormente estaba en https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner. Curiosamente, el desarrollador de esa aplicación todavía está activo en Play Store, con una aplicación similar (no actualizada desde agosto) todavía activa.. Aparece con un icono idéntico y la (¿posiblemente deliberada?) falta de ortografía de "escáner de código de barras". Su información de desarrollador enumera Maharashtra, India como la ubicación, con una dirección de Gmail genérica y una página web en blanco. Las versiones anteriores de la aplicación, aparentemente bajo la misma cuenta de desarrollador, mostraban una página de WordPress inocua como su sitio web.
Por curiosidad, instalé la versión alternativa de la aplicación. Enumera una política de privacidad en esa página de WordPress que tiene un descargo de responsabilidad bastante rutinario sobre la publicación de anuncios dentro de la aplicación en sí, una práctica estándar y aceptable. No vi de inmediato el comportamiento de secuestro del navegador descrito en la publicación del blog de Malwarebytes. Lo que sea que salió mal con la otra aplicación, no parece estar sucediendo con el duplicado, aunque no está claro por qué Google simplemente no eliminó todas las listas de desarrolladores.
Los esfuerzos de Google para mantener Android y Chrome "limpios" han sido excelentes hasta ahora, a pesar de su vulnerabilidad inherente como plataformas abiertas. Pero los actores difamatorios pueden ser ingeniosos en sus esfuerzos por eludir la seguridad, y parece que las actualizaciones de aplicaciones de confianza se han convertido en una especie de punto ciego. Google debe mejorar para proteger a sus usuarios en todas las plataformas.
Fuente: Malwarebytes