Inicio » Aplicaciones de Google Play hicieron que los teléfonos queden casi inutilizables
CIBERSEGURIDAD

Aplicaciones de Google Play hicieron que los teléfonos queden casi inutilizables

Google Play

Si la prevalencia de las aplicaciones abusivas de Google Play lo ha dejado atontado, este último informe es para usted. El software publicitario cuidadosamente oculto instalado en aplicaciones aprobadas por Google con más de 440 millones de instalaciones fue tan agresivo que hizo que los dispositivos móviles fueran casi inutilizables, dijeron el martes investigadores del proveedor de seguridad móvil Lookout.

BeiTaAd, como se conoce el adware, es un complemento que Lookout dice que se encuentra oculto en el teclado emojis TouchPal y en otras 237 aplicaciones, todas las cuales fueron publicadas por CooTek, con sede en Shanghai, China. Juntas, las 238 aplicaciones únicas tenían un total de 440 millones de instalaciones. Una vez instaladas, las aplicaciones inicialmente se comportaron normalmente. Luego, después de una demora de entre 24 horas y 14 días, el complemento BeiTaAd ofuscado comenzaría a entregar lo que se conoce como anuncios fuera de la aplicación. Estos anuncios aparecieron en las pantallas de bloqueo de los usuarios y activaron el audio y el video en momentos aparentemente aleatorios o incluso cuando el teléfono estaba dormido.

“Mi esposa está teniendo exactamente el mismo problema”, informó una persona en noviembre en este hilo que hablaba sobre BeiTaAd . “Esto hará aparecer anuncios aleatorios en medio de las llamadas telefónicas, cuando suene la alarma o en cualquier momento que use cualquier otra función en su teléfono. No podemos encontrar ninguna otra información sobre esto. Es extremadamente molesto y casi [hace ] su teléfono inutilizable “.

La publicación de Lookout dijo que los desarrolladores responsables de las 238 aplicaciones hicieron todo lo posible para ocultar el complemento. Las primeras versiones de las aplicaciones lo incorporaron como un archivo dex sin cifrar llamado beita.rencdentro del assets/componentsdirectorio. El cambio de nombre tuvo el efecto de dificultar a los usuarios saber que el archivo era el responsable de ejecutar el código.

Más tarde, los desarrolladores de aplicaciones cambiaron el nombre del complemento al más opaco icon-icomoon-gemini.rency lo cifraron utilizando el Estándar de cifrado avanzado. Luego, los desarrolladores ofuscaron la clave de descifrado dentro del código a través de una serie de funciones enterradas en un paquete llamado com.android.utils.hades.sdk. Aún en versiones posteriores, los desarrolladores utilizaron una biblioteca de terceros llamada StringFog, que usaba codificación basada en XOR y base64 para ocultar cada instancia de la cadena “BeiTa” en los archivos.

“Todas las aplicaciones que analizamos que contenían el complemento BeiTaAd fueron publicadas por CooTek, y todas las aplicaciones de CooTek que analizamos contenían el complemento”, escribió en un correo electrónico Kristina Balaam, ingeniera de inteligencia en seguridad de Lookout. “El desarrollador también hizo todo lo posible para ocultar la presencia del complemento en la aplicación, lo que sugiere que pueden haber sido conscientes de la naturaleza problemática de este SDK. Sin embargo, no podemos atribuir BeiTa a CooTek con total certeza”.

Ars ha pedido a los representantes de CooTek y Google que comenten. Esta publicación se actualizará si uno o ambos responden.

Busted!

Lookout informó el comportamiento de BeiTaAd a Google, y las aplicaciones responsables se eliminaron posteriormente de Play o se actualizaron para eliminar el complemento abusivo. No hay indicios de que CooTek sea prohibido o castigado de otra manera por violar los términos de servicio de Play en una escala tan masiva y por tomar las medidas que tomó para ocultar la violación. Las 237 aplicaciones restantes de CooTek que incorporaron el complemento se enumeran al final de la publicación de Lookout .

El foro vinculado anteriormente que analiza los documentos de BeiTaAd de que el complemento ha estado amenazando a los usuarios durante al menos siete meses. La incapacidad de Google para detectar el abuso, ya sea inicialmente cuando se enviaron las aplicaciones o más tarde, dado que esas aplicaciones hicieron que millones de teléfonos fueran casi inutilizables, habla de la incapacidad de la empresa, o posiblemente de su falta de motivación suficiente, para vigilar su mercado contra el abuso flagrante. El número de instalaciones afectadas demuestra que incluso las aplicaciones más utilizadas tienen el potencial de ser potencialmente maliciosas.

Hasta que Google muestre signos de que el problema de las aplicaciones maliciosas y abusivas esté bajo control, los usuarios de Android deben ser escépticos con respecto a Google Play y descargar las aplicaciones con moderación.

Actualización: en un comunicado enviado 10 horas después de la publicación de este post, un representante de CooTek escribió: “El módulo mencionado en el informe fue uno de los SDK de monetización en nuestras versiones anteriores, y no fue diseñado para fines de adware. Antes del informe, ya notamos el problema y deshabilitamos las funciones de publicidad en el SDK en cuestión hace varios meses. Además eliminamos todo el módulo en cuestión el mes pasado “.