Las aplicaciones de Android en Play Store de Google a menudo han sido el objetivo de malware diseñado para infectar dispositivos móviles y robar información personal de los usuarios.

Luego, Google está en condiciones de realizar una limpieza para eliminar las aplicaciones maliciosas y luego repetir el proceso la próxima vez que aparezcan dichas aplicaciones fraudulentas.

La última vulnerabilidad de malware es una que afecta a todos los dispositivos Android al apuntar a las aplicaciones bancarias con el objetivo de comprometer los datos de los usuarios y obtener acceso a las cuentas financieras.

VER: Seguridad de dispositivos móviles: una guía para propietarios de negocios (TechRepublic Premium)

Descubierta por Promon, la vulnerabilidad denominada StrandHogg permite que las aplicaciones maliciosas se hagan pasar por aplicaciones legítimas, lo que permite a los piratas informáticos acceder a mensajes SMS y fotos privados, robar credenciales de inicio de sesión, rastrear los movimientos de los usuarios, grabar conversaciones telefónicas y espiar a las personas a través de la cámara y el micrófono del teléfono, según a un comunicado de Promon publicado el lunes.

Los investigadores de seguridad de Promon que analizaron el malware real que aprovechó esta vulnerabilidad descubrieron que todas las 500 aplicaciones principales estaban en riesgo y afectaban a todas las versiones de Android, incluida Android 10. Según la clasificación de la empresa de inteligencia sobre las aplicaciones 42 Matters, la lista de 100 incluye principalmente aplicaciones populares y aplicaciones generales en todo tipo de categorías

Específicamente, Lookout, el socio y compañía de seguridad de Promon, confirmó 36 aplicaciones maliciosas que explotaron la falla. Entre ellos se encontraban variantes del troyano bancario BankBot, que se observó ya en 2017 y es uno de los troyanos bancarios más extendidos.

En respuesta a los hallazgos de Promon, Google eliminó las aplicaciones maliciosas identificadas de su Play Store, según un comunicado enviado a BBC News y TechRepublic.

“Apreciamos el trabajo de los investigadores y hemos suspendido las aplicaciones potencialmente dañinas que identificaron”, dijo Google en su comunicado. “Google Play Protect detecta y bloquea aplicaciones maliciosas, incluidas aquellas que utilizan esta técnica. Además, continuamos investigando para mejorar la capacidad de Google Play Protect para proteger a los usuarios contra problemas similares.

En una página de descripción general, Promon proporcionó detalles sobre la vulnerabilidad StrandHogg, explicando su impacto y las diferentes formas en que los piratas informáticos pueden explotarla.

Como describe Promon, StrandHogg permite que una aplicación maliciosa que se hace pasar por una aplicación legítima solicite ciertos permisos, incluido el acceso a mensajes SMS, fotos, GPS y micrófono.

Los usuarios desprevenidos aprueban las solicitudes, pensando que están otorgando permiso a una aplicación legítima y no a una fraudulenta o maliciosa. Cuando el usuario ingresa las credenciales de inicio de sesión en la aplicación, esta información se envía inmediatamente al atacante, quien luego puede iniciar sesión y controlar las aplicaciones confidenciales.

La vulnerabilidad en sí radica en el sistema multitarea de Android, dijo el director de marketing y comunicaciones de Promon, Lars Lunde Birkeland. El exploit se basa en una configuración de control de Android llamada "taskAffinity", que permite que cualquier aplicación, incluidas las aplicaciones maliciosas, asuma libremente cualquier identidad en el sistema multitarea, dijo Birkeland.

Según Promon, una muestra de malware específica analizada por Promon no estaba en Google Play, pero se instaló a través de descargadores de aplicaciones y descargadores hostiles disponibles en la tienda de aplicaciones móviles de Google. Estas aplicaciones tienen o pretenden tener la funcionalidad de juegos, utilidades y otras aplicaciones populares, pero en realidad instalan aplicaciones adicionales que pueden implementar malware o robar datos del usuario.

“Tenemos pruebas convincentes de que los atacantes están explotando StrandHogg para robar información confidencial”, dijo el director de tecnología de Promon, Tom Lysemose Hansen, en un comunicado publicado en la página de información general. "El impacto potencial de esto podría no tener precedentes en términos de escala y cantidad de daño causado, ya que la mayoría de las aplicaciones son vulnerables de forma predeterminada y todas las versiones de Android se ven afectadas".

Aunque Google eliminó las 36 aplicaciones explotadas, Birkeland dijo que, según el conocimiento de Promon, la vulnerabilidad en sí no se ha reparado en ninguna versión de Android, incluido Android 10. Google también está tratando de proteger las aplicaciones de su tienda a través de su suite de seguridad Google Play Protect. , pero las aplicaciones cuentagotas siguen apareciendo en la tienda. Estas aplicaciones, que a menudo pasan desapercibidas, pueden descargarse millones de veces antes de ser detectadas y eliminadas.

"Google Play generalmente se considera un refugio seguro para descargar software", dijo Birkeland. "Desafortunadamente, nada es 100% seguro y, de vez en cuando, los distribuidores de malware logran colar sus aplicaciones en Google Play".

Sam Bakken, director sénior de marketing de productos de la firma antifraude OneSpan, también opinó sobre la amenaza que representan las vulnerabilidades como StrandHogg.

"Como puede imaginar, los delincuentes están salivando ante el potencial de monetización de las credenciales bancarias móviles robadas y el acceso a contraseñas de un solo uso enviadas por mensaje de texto", dijo Bakken en un comunicado.

“Los hallazgos recientes de Promon hacen que la vulnerabilidad sea peor que nunca. Los consumidores y los desarrolladores de aplicaciones estuvieron expuestos a varios tipos de fraude durante cuatro años”, continuó. "Además, ahora se han identificado al menos 36 ejemplos de malware que atacan la vulnerabilidad desde 2017, algunos de los cuales son variantes del notorio troyano Bankbot. Esto muestra que los atacantes conocen la vulnerabilidad y la están explotando activamente para robar credenciales bancarias y dinero.

Cuanto mayor sea la cuota de mercado, mayor será el objetivo, lo que significa que Android está maduro para el malware. Agregue una tienda de aplicaciones sin mucha verificación y tendrá una mala situación en sus manos. Hay muchas aplicaciones antivirus disponibles para Android y, como todo en Google Play Store, se recomienda precaución. Las aplicaciones antivirus necesitan mucho acceso a su teléfono, así que asegúrese de confiar plenamente en lo que elija instalar. Si se pregunta en qué aplicaciones puede confiar, eche un vistazo a estas cinco aplicaciones y algunas de las funciones que las hacen únicas.
iStock/Jirsak