La seguridad de Google Play
Store se ha visto comprometida. Investigadores de Check Point® Software
Technologies Ltd., proveedor líder especializado en
ciberseguridad a nivel mundial, alerta de que han identificado una nueva
familia de malware que se encontraba disponible en 56 aplicaciones y que ha
sido descargado en torno a un millón de veces en todo el mundo. Cabe destacar
que 24 de las aplicaciones (entre las que se encontraban rompecabezas, juegos
de carreras, etc.) estaban dirigidas al público infantil, mientras que el resto
eran aplicaciones de uso general (aplicaciones de cocina, traductores, etc.).
Este nuevo suceso se produce tan sólo un mes después de que los investigadores
de la compañía descubriesen que el malware Haken, que se encontraba en 8
aplicaciones maliciosas diferentes, había sido descargado e instalado en más de
50.000 dispositivos Android.
"Para nosotros, el gran número de descargas que el
cibercriminal consiguió infiltrar con éxito en Google Play es
sorprendente", señala Antonio Amador, Country Manager para Región Norte de
América Latina de Check Point. "Al combinar esto con una metodología de
infección relativamente simple, se puede deducir que Google Play Store todavía
puede albergar apps maliciosas. Además, está claro que es difícil comprobar si
todas y cada una de las aplicaciones son seguras en la Play Store, por lo que
los usuarios no pueden confiar únicamente en las medidas de seguridad de Google
Play para garantizar la protección de sus dispositivos, sino que deben contar
con herramientas tecnológicas en todos sus dispositivos", añade Amador.
Esta nueva familia de malware, conocido como Tekya, es un
adclicker, una ciberamenaza al alza en la industria móvil que simula el comportamiento
del usuario pulsando sobre los 'banners' y anuncios de agencias como AdMob de
Google, AppLovin', Facebook y Unity con el objetivo de generar beneficios
financieros fraudulentos. Asimismo, los cibercriminales detrás de esta campaña
clonaron aplicaciones reales del Store con el objetivo de incrementar la
audiencia, sobre todo entre niños, ya que la mayoría de las portadas de
aplicaciones para el malware de Tekya son juegos infantiles.
¿Cómo funciona Tekya?
Uno de los datos más destacados de la investigación llevada
a cabo por Check Point revela que Tekya había sido capaz de eludir las medidas
de seguridad de VirusTotal y Google Play Protect, un sistema desarrollado por
Google para garantizar la seguridad del sistema operativo Android. En este sentido,
esta variante de malware se camuflaba como parte del código nativo de las
aplicaciones y empleaba el mecanismo 'MotionEvent' en Android (introducido en
2019) para imitar las acciones del usuario y generar clics.
Por otra parte, cuando un usuario descargaba alguna de las
aplicaciones infectadas en el dispositivo, automáticamente se registraba un
receptor ('us.pyumo.TekyaReceiver') que permitía llevar a cabo distintas
acciones como “BOOT_COMPLETED” (permite que el código se ejecute al iniciar el
dispositivo, lo que se conoce como “inicio frío”), “USER_PRESENT” (para
detectar cuando el usuario está utilizando de forma activa el dispositivo) y
“QUICKBOOT_POWERON” (para permitir que el código malicioso se ejecute después
de reiniciar el dispositivo.
¿Cómo pueden protegerse los usuarios frente a este tipo de
ciberamenazas?
A pesar de que Check Point reveló estos hallazgos a Google y
que la amenaza ya ha sido erradicada, esta situación pone de relieve una vez
más que los mercados de aplicaciones en general, y Google Play en particular,
son vulnerables y susceptibles de ser hackeados. En la actualidad, existen casi 3 millones de
aplicaciones disponibles en el Store, y se cuentan por cientos los nuevos
programas informáticos que se desarrollan y comienzan a formar parte de este
mercado cada día, por lo que realmente difícil poder comprobar la veracidad y
seguridad de cada una.
En este sentido, los expertos de la compañía señalan que los
usuarios no pueden confiar únicamente en las medidas de seguridad de Google
Play para garantizar la protección de sus dispositivos, por lo que aconsejan
eliminar cualquier tipo de aplicación sospechosa e instalar las últimas
actualizaciones del sistema operativo y demás programas para garantizar la
seguridad de dispositivo. Asimismo, destacan la importancia de contar con
herramientas tecnológicas de calidad para hacer frente a estos ciberriesgos. Por
su parte, Check Point cuenta con SandBlast Mobile, una solución contra amenazas
móviles avanzadas con infraestructura On-device Network Protection. Al revisar
y controlar todo el tráfico de red del dispositivo, SandBlast Mobile evita los
ataques de robo de información en todas las aplicaciones, correo electrónico,
SMS, iMessage y aplicaciones de mensajería instantánea. Esta solución, además,
evita tanto el acceso a sitios web maliciosos como el acceso y comunicación del
dispositivo con botnets, para lo cual valida el tráfico en el propio
dispositivo sin enrutar los datos a través de un gateway corporativo.
