Cerca de diez millones de usuarios de Android se han infectado con la popular aplicación de lectura de códigos de barras «Barcode Scanner», después de que la aplicación legítima se convirtiera en malware. El comportamiento malicioso del software fue expuesto por investigadores de la firma de seguridad Malwarebytes, quienes lo informaron a Google y como resultaot la aplicación se eliminó de la tienda en línea.
Fue a fines del pasado mes de diciembre cuando los investigadores comenzaron a recibir llamadas de socorro de usuarios de dispositivos Android. La compañía afirma que esos usuarios estaban viendo anuncios apareciendo de la nada a través de sus navegadores predeterminados. Lo más extraño de la epidemia de publicación de anuncios es que ninguno de ellos había instalado aplicaciones recientemente. Sin embargo, todas las aplicaciones que habían instalado desde entonces procedían directamente de Google Play.
Los anuncios emergentes continuaron hasta que una de las víctimas del malware descubrió que los anuncios provenían de una aplicación instalada desde hace mucho tiempo llamada Barcode Scanner.
Los investigadores agregaron rápidamente la detección, después de que el usuario alertó y Google eliminó la aplicación de la tienda. Muchos usuarios han utilizado la aplicación en sus dispositivos móviles durante mucho tiempo, incluido un usuario que la tenía instalada durante años.
Después de una actualización lanzada en diciembre, la aplicación Barcode Scanner pasó de lo que debía ser: ofrecía un lector de códigos QR y un generador de códigos de barras, una utilidad útil para dispositivos móviles, a un malware completo. Aunque Google ya eliminó esta aplicación, la compañía de seguridad cree que la actualización tuvo lugar el 4 de diciembre de 2020, lo que cambió las funciones de la aplicación para enviar anuncios sin previo aviso.
Si bien muchos desarrolladores incorporan anuncios en su software para poder ofrecer versiones gratuitas y las aplicaciones pagas simplemente no muestran anuncios, en los últimos años, el cambio se ha producido de la noche a la mañana. Las aplicaciones de recursos útiles para el adware son cada vez más frecuentes común.
“Los SDK de publicidad pueden provenir de varias empresas de terceros y ser una fuente de ingresos para el desarrollador de aplicaciones. Es una situación en la que todos ganan ”, señaló Malwarebytes. “Los usuarios obtienen una aplicación gratuita, mientras que los desarrolladores de aplicaciones y los desarrolladores de SDK de anuncios reciben pagos. Pero de vez en cuando, una empresa de SDK de anuncios puede cambiar algo y los anuncios pueden comenzar a volverse un poco agresivos.
A veces, terceros pueden realizar prácticas publicitarias «agresivas», pero este no es el caso de este lector de códigos de barras. En cambio, los investigadores dicen que el código malicioso se incluyó en la actualización de diciembre y se ocultó en gran medida para evitar la detección. La actualización también se firmó con el mismo certificado de seguridad que se utilizó en versiones anteriores de la aplicación de Android.
“No, en el caso de Barcode Scanner, se agregó código malicioso que no estaba presente en versiones anteriores de la aplicación. Además, el código agregado utilizó una fuerte ofuscación para evitar la detección. Para comprobar que proviene del mismo desarrollador de la aplicación, confirmamos que había sido firmado por el mismo certificado digital que las versiones limpias anteriores ”.
El hecho de que Google haya eliminado la aplicación de Google Play no significa que la aplicación desaparecerá de los dispositivos afectados. Este es exactamente el problema experimentado por los usuarios que instalaron Barcode Scanner. Para ponerle fin, los usuarios deben desinstalar manualmente la aplicación ahora maliciosa.
Los investigadores no pudieron determinar exactamente cuánto tiempo la aplicación del lector de códigos de barras había sido una aplicación legítima en la tienda Google Play antes de que se volviera maliciosa.
“Basado en la gran cantidad de instalaciones y comentarios de los usuarios, creemos que ha existido durante años. Es aterrador que con solo una actualización, una aplicación pueda volverse maliciosa sin dejar de estar bajo el radar de Google Play Protect. Me desconcierta que un desarrollador de aplicaciones con una aplicación popular pueda convertirla en malware. ¿Era el plan desde el principio, tener una aplicación inactiva, a la espera de llegar después de alcanzar popularidad? Supongo que nunca lo sabremos ”, decía el informe de los investigadores.
Fuente: desdelinux
