Google Android, atacado e infectado

Google ha retirado las aplicaciones y bloqueado al desarrollador falso del Android Market, además de eliminar de forma remota las aplicaciones de los terminales afectados. Durante los cinco días que estas aplicaciones estuvieron disponibles se estima que se produjeron 50.000 descargas. La solución aportada por Google no eliminará a cualquier otro código que pueda haber sido colocado en el dispositivo como consecuencia de la infección inicial. Por lo que cualquier usuario que crea que es una de las 50.000 personas que ha descargado estas aplicaciones maliciosas sería recomendable que estudiara la posibilidad de reemplazar el dispositivo o reinstalar el sistema operativo si fuera posible.


Android Police ha publicado los detalles de lo que se ha descrito como “la madre de todo el malware para Android”, que inicialmente fue vista por el colaborador ‘lompolo’ en Reddit, tal y como informa el equipo de investigación de Trend Micro. Lompolo publicó detalles de 21 aplicaciones de Android que fueron reempaquetadas bajo una versión de aplicaciones legítimas. Las versiones reempaquetadas incluyen el exploit rageagainstthecage que es capaz de obtener acceso a la raíz del dispositivo. No sólo estas aplicaciones troyanizadas roban datos del dispositivo, tales como el IMEI y el IMSI, sino que también pueden instalar y ocultar otros malware que extraen aún más información del usuario incluso cuando apaga el dispositivo y que pasa a manos de los criminales. Una investigación adicional de Android Police informa de que esta segunda carga útil contiene también un dosificador capaz de descargar más código.


En respuesta a la publicación inicial de lompolo, uno de los desarrolladores de las aplicaciones legítimas que han sido secuestradas ha comentado lo siguiente:

“Yo soy el desarrollador del original de Guitar Solo Lite. Me di cuenta de la existencia de la aplicación falsa hace poco más de una semana (pues recibía informes de fallos enviados desde la versión pirateada de la aplicación). Avisé a Google sobre esto a través de todos los canales que se me ocurrieron: notificaciones DCMA, informes de aplicaciones maliciosas, por medio del Android Market Help… y todavía no han respondido. Afortunadamente este tema se publicó en Reddit y después del post, el falso desarrollo y todas sus aplicaciones han sido retiradas del mercado. ¡Debería haber una alternativa más fácil y rápida para conseguir que Google actuara!”.


El ecosistema de aplicaciones Android por definición es abierto, y hay una amplia gama de tiendas y aplicaciones disponibles que pueden ser publicas para la comunidad de usuarios en cuestión de minutos. Esta mayor apertura del entorno de desarrollo ha sido el argumento para fomentar una atmósfera de creatividad, pero, tal y como Facebook ya ha descubierto, también es un escenario muy atractivo para los cibercriminales, según indica Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones de Trend Micro para EMEA.