Google Cloud revela una táctica maliciosa común para introducir malware en dispositivos Android
Recientemente, el equipo de seguridad de Google Cloud ha reconocido la existencia de una táctica maliciosa bastante común para introducir malware en dispositivos Android. Esta técnica, conocida como versionado, permite eludir el proceso de revisión y los controles de seguridad de Google Play Store.
Tabla de contenido
La técnica del versionado y la carga dinámica de código
La técnica del versionado consiste en introducir cargas maliciosas a través de actualizaciones de aplicaciones ya instaladas o cargar código malicioso desde servidores controlados por los autores de la amenaza. Esto se conoce como carga dinámica de código (DCL) y permite a los autores desplegar sus cargas útiles eludiendo las comprobaciones de análisis estático de la tienda de aplicaciones.
El proceso del versionado y sus implicaciones
El proceso de versionado se produce cuando un desarrollador lanza una versión inicial de una aplicación en Google Play Store, aparentando ser legítima y pasando las comprobaciones de seguridad. Sin embargo, más tarde recibe una actualización desde un servidor de terceros que modifica el código en el dispositivo del usuario final, permitiendo la actividad maliciosa.
Aunque Google afirma que todas las aplicaciones y parches enviados para su inclusión en Play Store pasan por rigurosos controles, algunos de estos controles se eluden mediante la carga dinámica de código.
Las consecuencias para los desarrolladores y usuarios
Google ha dejado claro que las aplicaciones que utilizan esta táctica están infringiendo la política de comportamiento engañoso de Google Play y podrían ser etiquetadas como puertas traseras. Esto significa que los desarrolladores que empleen el versionado podrían enfrentarse a sanciones y sus aplicaciones podrían ser eliminadas de la tienda aunque estas no tengan una mala intención y hagan uso legítimo de estos mecanismos.
SharkBot: un ejemplo de malware que elude las medidas de seguridad
Google también ha destacado un caso específico de malware llamado SharkBot, que utiliza la técnica del versionado para eludir las medidas de seguridad. SharkBot es un malware bancario que realiza transferencias de dinero no autorizadas a través del protocolo Automated Transfer Service (ATS) tras comprometer dispositivos Android.
Para evitar ser detectado por los sistemas de Play Store, las amenazas responsables de SharkBot han adoptado la estrategia de lanzar versiones con funcionalidad limitada en Google Play, ocultando la naturaleza sospechosa de sus aplicaciones. Sin embargo, una vez que el usuario descarga la aplicación troyanizada, se descarga la versión completa del malware.
SharkBot se ha hecho pasar por software antivirus para Android y diversas utilidades del sistema, logrando infectar a miles de usuarios a través de aplicaciones que superaban las comprobaciones de comportamiento malicioso de Google Play Store.
Lo que queda claro es que las medidas hasta ahora tomadas por Gooogle para frenar la ola de malware que azota el ecosistema no han sido suficientes y que se requieren cambios importántes en los mecanismos de detección y acción en los mismos dispositivos, ya no basta con fiarnos de las fuentes, hacen falta antivirus, y si este tema te interesa, lee nuestras guías sobre ¿Cómo instalar un antivirus en Android? y ¿Cómo eliminar virus en Android?.
Deja una respuesta