Un equipo de creadores de malware está jugando al gato y el ratón con Google. El juego es el siguiente: suben un malware a la red, Google Play rápidamente lo da de baja, suben una mutación del malware y Google la inhibe. Hasta ahora, las aplicaciones maliciosas han infectado a cientos de miles de víctimas inocentes.
En abril, Avast descubrió un malware porno en Google Play haciéndose pasar por la app popular Dubsmash. La app se instaló entre 100.000 y 500.000 veces desde Google Play Store. Una vez instalada, no quedaban pruebas de la app llamada “Dubsmash 2” en el dispositivo del usuario, en su lugar, instalaba un ícono de la app llamada “Setting IS”. Si la app “Setting IS” era abierta por el usuario, Google Play Store redirigía a la página de descarga real de la app “Dubsmash”. Una lista de diversos enlaces porno se descargaba y uno de esos enlaces se iniciaba en el navegador. Después de diez segundos, el código hacía click en más enlaces dentro del sitio porno.
Cuando Avast descubrió la deshonesta aplicación, la empresa contactó a Google y la aplicación fue retirada del Play Store poco después.
El malware mutante
En julio, Avast nuevamente encontró una mutación del malware porno en Google Play, creado por el mismo grupo turco de autores de malware. Google reaccionó rápidamente y lo retiró de nuevo del Play Store.
Una vez que las aplicaciones se descargaban, no hacían nada significativo al ser abiertas por el usuario, excepto mostrar una imagen estática. Sin embargo, una vez que la víctima abría su navegador o alguna otra aplicación, la aplicación infectada funcionaba en segundo plano, dirigiendo al usuario a sitios pornográficos. Los usuarios no entendían necesariamente por qué se redirigían a estos sitios, ya que la única forma de detener el proceso era matando la app.
Poco después, investigadores de seguridad de Eset reportaron la presencia de más aplicaciones con esta mutación en Google Play. Eset también reportó que la forma original de malware fue subida a Google Play en múltiples oportunidades el pasado mayo. Entre los descubrimientos de Avast y el de Eset se comprobó que los autores de este malware son extremadamente persistentes y están determinados a convertir a Google Play en la residencia permanente de su malware.
Volveré… Es lo que los autores de este malware deben haber pensado cuando Google retiró sus aplicaciones del Play Store a mediados del mes de julio. Apenas unos días después, el malware estaba de regreso en Google Play.
Este malware, que Avast detecta como Clicker-AR, estaba presente en las aplicaciones Doganin Güzellikleri, Doganin Güzellikleri 2, Doganin Güzellikleri 3. El nombre se traduce como “La belleza de la naturaleza”. Sus autores cambiaron los nombres de los desarrolladores para dificultar su detección por parte de Google. Avast reportó las aplicaciones a Google y nuevamente fueron removidas.