Recientemente se descubrieron decenas de miles de aplicaciones de Android que introdujeron adware en los dispositivos durante meses.
Esto es según un nuevo informe de los investigadores de ciberseguridad de Bitdefender. Después de implementar una función de detección de anomalías en su solución de seguridad móvil el mes pasado, la compañía encontró 60 000 aplicaciones únicas que pretendían ser varias aplicaciones de seguridad, utilidades y entretenimiento, pero en realidad solo estaban promocionando adware.
Las aplicaciones se distribuían a través de sitios web de terceros, respaldadas únicamente para la distribución de aplicaciones maliciosas. Parece que ninguna de las aplicaciones se encontró en Play Store. Bitdefender dice que es probable que la cifra de 60.000 no sea definitiva y que la cantidad de software malicioso probablemente sea mucho mayor.
Desinstalación falsa
Los actores de amenazas crearían estos sitios web y luego los ubicarían lo más alto posible en las páginas de resultados del motor de búsqueda (SERP) de Google, probablemente también utilizando otros canales de distribución, como sitios de redes sociales, aplicaciones de comunicaciones instantáneas, correo electrónico y más.
Una vez que la víctima instala la aplicación en su terminal, le indicará que no está disponible en su región y le ofrecerá una forma rápida de desinstalarla. Sin embargo, el proceso de desinstalación nunca ocurriría y las aplicaciones simplemente permanecerían en el dispositivo.
Los desarrolladores también implementaron un par de otros métodos de ofuscación para asegurarse de que el adware permanezca oculto en los dispositivos Android durante el mayor tiempo posible.
En primer lugar, las aplicaciones no se ejecutan automáticamente una vez descargadas, ya que eso requeriría privilegios adicionales que probablemente generarían sospechas entre los objetivos. En cambio, siguen la ruta que toman todas las demás aplicaciones y esperan a que los usuarios las ejecuten.
En segundo lugar, después del proceso de «desinstalación», las aplicaciones se duermen durante unas horas, después de lo cual registrarían dos «intentos» que hacen que la aplicación se inicie al reiniciar o desbloquear el dispositivo. Los intentos mismos están «dormidos» durante los dos primeros días.
Como de costumbre, la mejor manera de protegerse contra tales amenazas es asegurarse de descargar solo software de fuentes legítimas.
Vía: BleepingComputer