Android Police ha publicado los detalles de lo que se ha descrito como “la madre de todo el malware para Android”, que inicialmente fue vista por el colaborador “lompolo” en Reddit. Lompolo publicó detalles de 21 aplicaciones de Android que fueron reempaquetadas bajo una versión de aplicaciones legítimas. Las versiones reempaquetadas incluyen el exploit rageagainstthecage que es capaz de obtener acceso a la raíz del dispositivo. No sólo estas aplicaciones troyanizadas roban datos del dispositivo, tales como el IMEI y el IMSI, sino que también pueden instalar y ocultar otros malware que extraen aún más información del usuario incluso cuando apaga el dispositivo y que pasa a manos de los criminales. Una investigación adicional de Android Police informa de que esta segunda carga útil contiene también un dosificador capaz de descargar más código.
En respuesta a la publicación inicial de lompolo uno de los desarrolladores de las aplicaciones legítimas que han sido secuestradas ha comentado lo siguiente: “Yo soy el desarrollador del original de Guitar Solo Lite. Me di cuenta de la existencia de la aplicación falsa hace poco más de una semana (pues recibía informes de fallos enviados desde la versión pirateada de la aplicación). Avisé a Google sobre esto a través de todos los canales que se me ocurrieron: notificaciones DCMA, informes de aplicaciones maliciosas, por medio del Android Market Help… y todavía no han respondido. Afortunadamente este tema se publicó en Reddit y después del post, el falso desarrollo y todas sus aplicaciones han sido retiradas del mercado. ¡Debería haber una alternativa más fácil y rápida para conseguir que Google actuara!”.
Durante los cinco días que estas aplicaciones estuvieron disponibles se estima que se produjeron 50.000 descargas. Google ahora ha retirado las aplicaciones y bloqueado al desarrollador falso del mercado Android, además de eliminar de forma remota las aplicaciones de los terminales afectados. Por supuesto, esta solución no eliminará a cualquier otro código que pueda haber sido colocado en el dispositivo como consecuencia de la infección inicial. Por lo que cualquier usuario que crea que es una de las 50.000 personas que ha descargado estas aplicaciones maliciosas sería recomendable que estudiara la posibilidad de reemplazar el dispositivo o reinstalar el sistema operativo si fuera posible.
El ecosistema de aplicaciones Android por definición es abierto, y hay una amplia gama de tiendas y aplicaciones disponibles que pueden ser publicas para la comunidad de usuarios en cuestión de minutos. Esta mayor apertura del entorno de desarrollo ha sido el argumento para fomentar una atmósfera de creatividad, pero, tal y como Facebook ya ha descubierto, también es un escenario muy atractivo para los cibercriminales, según indica Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones de Trend Micro para EMEA.
A continuación se ofrece una lista completa de las aplicaciones troyanizadas publicadas por Myournet:
- Falling Down
- Super Guitar Solo
- Super History Eraser
- Photo Editor
- Super Ringtone Maker
- Super Sex Positions
- Hot Sexy Videos
- Chess
- 下坠滚球_Falldown
- Hilton Sex Sound
- Screaming Sexy Japanese Girls
- Falling Ball Dodge
- Scientific Calculator
- Dice Roller
- 躲避弹球
- Advanced Currency Converter
- App Uninstaller
- 几何战机_PewPew
- Funny Paint
- Spider Man
- 蜘蛛侠
