Cerca de diez millones de usuarios de Android se han infectado con la popular aplicaciĆ³n de lectura de cĆ³digos de barras Ā«Barcode ScannerĀ», despuĆ©s de que la aplicaciĆ³n legĆtima se convirtiera en malware. El comportamiento malicioso del software fue expuesto por investigadores de la firma de seguridad Malwarebytes, quienes lo informaron a Google y como resultaot la aplicaciĆ³n se eliminĆ³ de la tienda en lĆnea.
Fue a fines del pasado mes de diciembre cuando los investigadores comenzaron a recibir llamadas de socorro de usuarios de dispositivos Android. La compaƱĆa afirma que esos usuarios estaban viendo anuncios apareciendo de la nada a travĆ©s de sus navegadores predeterminados. Lo mĆ”s extraƱo de la epidemia de publicaciĆ³n de anuncios es que ninguno de ellos habĆa instalado aplicaciones recientemente. Sin embargo, todas las aplicaciones que habĆan instalado desde entonces procedĆan directamente de Google Play.
Los anuncios emergentes continuaron hasta que una de las vĆctimas del malware descubriĆ³ que los anuncios provenĆan de una aplicaciĆ³n instalada desde hace mucho tiempo llamada Barcode Scanner.
Los investigadores agregaron rĆ”pidamente la detecciĆ³n, despuĆ©s de que el usuario alertĆ³ y Google eliminĆ³ la aplicaciĆ³n de la tienda. Muchos usuarios han utilizado la aplicaciĆ³n en sus dispositivos mĆ³viles durante mucho tiempo, incluido un usuario que la tenĆa instalada durante aƱos.
DespuĆ©s de una actualizaciĆ³n lanzada en diciembre, la aplicaciĆ³n Barcode Scanner pasĆ³ de lo que debĆa ser: ofrecĆa un lector de cĆ³digos QR y un generador de cĆ³digos de barras, una utilidad Ćŗtil para dispositivos mĆ³viles, a un malware completo. Aunque Google ya eliminĆ³ esta aplicaciĆ³n, la compaƱĆa de seguridad cree que la actualizaciĆ³n tuvo lugar el 4 de diciembre de 2020, lo que cambiĆ³ las funciones de la aplicaciĆ³n para enviar anuncios sin previo aviso.
Si bien muchos desarrolladores incorporan anuncios en su software para poder ofrecer versiones gratuitas y las aplicaciones pagas simplemente no muestran anuncios, en los Ćŗltimos aƱos, el cambio se ha producido de la noche a la maƱana. Las aplicaciones de recursos Ćŗtiles para el adware son cada vez mĆ”s frecuentes comĆŗn.
āLos SDK de publicidad pueden provenir de varias empresas de terceros y ser una fuente de ingresos para el desarrollador de aplicaciones. Es una situaciĆ³n en la que todos ganan ā, seƱalĆ³ Malwarebytes. āLos usuarios obtienen una aplicaciĆ³n gratuita, mientras que los desarrolladores de aplicaciones y los desarrolladores de SDK de anuncios reciben pagos. Pero de vez en cuando, una empresa de SDK de anuncios puede cambiar algo y los anuncios pueden comenzar a volverse un poco agresivos.
A veces, terceros pueden realizar prĆ”cticas publicitarias Ā«agresivasĀ», pero este no es el caso de este lector de cĆ³digos de barras. En cambio, los investigadores dicen que el cĆ³digo malicioso se incluyĆ³ en la actualizaciĆ³n de diciembre y se ocultĆ³ en gran medida para evitar la detecciĆ³n. La actualizaciĆ³n tambiĆ©n se firmĆ³ con el mismo certificado de seguridad que se utilizĆ³ en versiones anteriores de la aplicaciĆ³n de Android.
āNo, en el caso de Barcode Scanner, se agregĆ³ cĆ³digo malicioso que no estaba presente en versiones anteriores de la aplicaciĆ³n. AdemĆ”s, el cĆ³digo agregado utilizĆ³ una fuerte ofuscaciĆ³n para evitar la detecciĆ³n. Para comprobar que proviene del mismo desarrollador de la aplicaciĆ³n, confirmamos que habĆa sido firmado por el mismo certificado digital que las versiones limpias anteriores ā.
El hecho de que Google haya eliminado la aplicaciĆ³n de Google Play no significa que la aplicaciĆ³n desaparecerĆ” de los dispositivos afectados. Este es exactamente el problema experimentado por los usuarios que instalaron Barcode Scanner. Para ponerle fin, los usuarios deben desinstalar manualmente la aplicaciĆ³n ahora maliciosa.
Los investigadores no pudieron determinar exactamente cuĆ”nto tiempo la aplicaciĆ³n del lector de cĆ³digos de barras habĆa sido una aplicaciĆ³n legĆtima en la tienda Google Play antes de que se volviera maliciosa.
āBasado en la gran cantidad de instalaciones y comentarios de los usuarios, creemos que ha existido durante aƱos. Es aterrador que con solo una actualizaciĆ³n, una aplicaciĆ³n pueda volverse maliciosa sin dejar de estar bajo el radar de Google Play Protect. Me desconcierta que un desarrollador de aplicaciones con una aplicaciĆ³n popular pueda convertirla en malware. ĀæEra el plan desde el principio, tener una aplicaciĆ³n inactiva, a la espera de llegar despuĆ©s de alcanzar popularidad? Supongo que nunca lo sabremos ā, decĆa el informe de los investigadores.
Fuente: https://blog.malwarebytes.com/