La Play Store es la tienda de aplicaciones de Android, un espacio «seguro» desde el que podemos descargar cualquier aplicación para nuestro dispositivo móvil. En teoría, las aplicaciones de esta tienda están revisadas por Google de manera que tengamos esa garantía de que las apps son seguras y fiables y no corremos riesgos al bajarlas desde esa tienda. Sin embargo, más de una vez, los controles de seguridad de Google han demostrado no ser para nada efectivos. Y, de nuevo, lo peor ha vuelto a ocurrir.
La firma de seguridad McAfee ha lanzado un aviso sobre un nuevo problema de seguridad que ha golpeado a la tienda de aplicaciones de Google. En total, tal como indica la firma de seguridad, se han encontrado 43 aplicaciones con malware oculto, que en total suman más de dos millones y medio de instalaciones.
El malware que se esconde dentro de estas aplicaciones lo que hace es cargar anuncios en el dispositivo cuando la pantalla está apagada. Esto no solo es una molestia para el usuario, sino que también se traduce en un drenado considerable de la batería, que puede llegar a agotarse en cuestión de horas. Sin embargo, dependiendo de la publicidad que aparezca en el smartphone, también es posible que consuman demasiados datos de la tarifa 4G, e incluso que intenten engañarnos para llevar a cabo alguna estafa.
En un principio, solo se ha detectado esta amenaza en aplicaciones relacionadas con el streaming, calendarios y con agregadores de noticias. Y el público general de la campaña es Korea, aunque es muy probable que los piratas informáticos tengan otras campañas en mente para infectar a los usuarios de otros países con técnicas similares.
Es relativamente sencillo comprobar si estamos infectados. Lo primero, si hemos bajado alguna de las apps que comenta McAfee, probablemente seamos víctimas de estos piratas. También podemos comprobar el gasto de batería del móvil y ver cuáles son las apps, y los procesos, que más batería gastan, sobre todo en reposo, para detectar posibles patrones que nos hagan pensar que estamos infectados.
Cómo suben los piratas apps de Android con malware
Cuando un desarrollador de apps de Android sube una aplicación, la IA de Google la revisa. Si todo está correcto, suele darse de paso, sobre todo si se trata de una actualización (y no una app nueva). Si hay la más mínima sospecha, la app se revisa manualmente por los propios ingenieros de la compañía para decir si es buena, y se le da de paso, o es peligrosa y se bloquea su publicación.
Entonces, ¿cómo es posible que ocurran estas cosas? Muy sencillo. Los piratas informáticos utilizan un código que se puede alterar de forma remota. En este caso, mediante Firebase Storage o mediante mensajes enviados a la app de forma remota. De esta forma, cuando la app se sube a la tienda, es totalmente inofensiva. Pero cuando se descarga, y se conecta a Firebase o al servidor de control de los piratas, el código muta, y se vuelve una app maliciosa.
A pesar de ello, parte de la culpa la tiene Google, ya que para que este tipo de apps funcionen necesitan permisos de Android muy agresivos (como ejecutarse sin control de batería, o mostrar ventanas superpuestas, una técnica usada por los troyanos bancarios), permisos que, de serie, deberían levantar sospechas al pasar los controles de la tienda.