Aplicaciones de Adware en Google Play simulan su desinstalación.

Adware

Se han descubierto tres aplicaciones de adware en Google Play que utilizan un truco especial para garantizar permanecer en el dispositivo víctima durante mucho más tiempo. Son presentadas como utilidades relacionadas con la cámara y han registrado más de 700,000 instalaciones en conjunto. Cada aplicación aparece bajo un nombre de desarrollador diferente y su única función es mostrar anuncios en el dispositivo infectado. Este aspecto se refleja en la sección de opiniones de usuarios donde las personas se quejan de que son falsas.

Estrategia simple para un efecto a largo plazo.

Para mantener la persistencia, el adware oculta su ícono predeterminado después de iniciar la aplicación falsa por primera vez y crea un acceso directo para iniciarla. Cuando el usuario intenta desinstalarlo, ya no puede hacerlo desde la pantalla de inicio, donde la única opción que tienen es eliminar el acceso directo. Lukas Stefanko, investigador de malware de ESET, encontró las tres aplicaciones, cuyos nombres son Excellent camera, Ideal Camera: Cámara con todas las funciones para Android y Super Cámara Lite 2019.

La desinstalación de una aplicación de la pantalla de inicio de Android se introdujo con Android 6.0 "Marshmallow" y la acción se convirtió en la opción predeterminada para la mayoría de los usuarios. Los usuarios solo tienen que presionar prolongadamente el icono de la aplicación y arrastrarlo a la opción "desinstalar". Es fácil comprender por qué este método ganó popularidad cuando las alternativas implican más pasos.

El investigador explica en un video cómo funcionan las aplicaciones y ofrece métodos para deshacerse de ellas. Una forma es hacerlo directamente desde Google Play; otra es ir al menú de la aplicación en el área de configuración y seleccionar la aplicación que desea sacar del sistema.

Eliminar no es Desinstalar

Encontré 3 aplicaciones en Google Play con más de 700,000 instalaciones que utilizan una técnica de persistencia interesante.

Cuando el usuario se da cuenta de que la aplicación no es como la descrita, solo puede eliminar el ícono de la aplicación y no desinstalarla.

Cómo funciona, lo expliqué en el video: pic.twitter.com/HrAVw6TTLq

- Lukas Stefanko (@LukasStefanko) 5 de marzo de 2019

 

Stefanko es un investigador experimentado que reporta aplicaciones ofensivas en Google Play todo el tiempo. El año pasado, descubrió múltiples troyanos bancarios disfrazados de software de astrología.

A principios de este año, en enero, encontró un conjunto de nueve aplicaciones de adware que juntas se habían instalado más de 8 millones de veces. El problema parece ser difícil de eliminar, ya que el mismo mes Stefanko informó 19 aplicaciones de Android con más de 50 millones de instalaciones que se presentan como herramientas de GPS; Lo que hicieron fue mostrar un anuncio y luego lanzar Google Maps.

Los tres Adware todavía están disponibles en la tienda de aplicaciones oficial de Android. Aunque su calificación y las reseñas de los usuarios son una clara advertencia de su real propósito, algunos usuarios aún pueden caer en ellas basándose en las promesas de la descripción.

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila