En múltiples ocasiones se han dado a conocer reportes de malware distribuido a través de la Google Play Store, que difundido en múltiples aplicaciones puede ser instalado de forma colectiva en una gran cantidad de dispositivos.
Según detalla Bleeping Computer, uno de estos últimos casos lo han revelado investigadores de seguridad de Dr. Web, quienes encontraron un spyware en el módulo "SpinkOk", mismo que puede robar los datos privados almacenados en los dispositivos de los usuarios para luego enviarlos a un servidor remoto.
Así funcionaba el spyware
De acuerdo con la compañía, SpinkOk muestra un comportamiento en principio legítimo, pues está diseñado para mantener el interés del usuario en las aplicaciones de ayuda de minijuegos, sistemas de tareas, supuestos premios y sorteos de recompensa.
Sin embargo, tras iniciarse en segundo plano, el troyano SDK verifica los datos de sensores del dispositivo Android, como el giroscopio y el magnetómetro, con la intención de confirmar que no se está ejecutando en un entorno aislado, utilizado por investigadores para arrancar apps potencialmente maliciosas.
Después de esto la app se conecta a un servidor remoto para descargar una lista de URLs abiertas que se usa para mostrar algunos minijuegos.
Las capacidades del spyware
Aunque para el usuario parece que las aplicaciones corren de forma correcta, según Dr. Web, en segundo plano el SDK puede realizar funciones adicionales, como ver la lista de archivos, buscar documentos específicos y obtenerlo, o hasta reemplazar el contenido de portapapeles, lo que significa un riesgo para exponer imágenes, videos y otros archivos del usuario.
Con la capacidad de modificar el portapapeles, el SDK también puede robar contraseñas de cuentas y datos de tarjetas de crédito, incluso llegando a secuestrar pagos en criptomonedas a sus propias direcciones de billeteras.
En total la plataforma cuenta 101 apps descargadas un total de 421 millones 290 mil 300 veces desde la Google Play. Entre las más descargadas encontradas por Dr. Web están:
- Noizz: al menos 100,000,000 de instalaciones
- Zapya: al menos 100,000,000 instalaciones, con el módulo troyano presente en las versiones 6.3.3 a 6.4 únicamente
- Vfly: al menos 50,000,000 de instalaciones
- MVBit: al menos 50,000,000 instalaciones
- Biugo: al menos 50,000,000 de instalaciones
El resto de aplicaciones, que se pueden consultar en este enlace, también incluye algunas relacionadas a criptomonedas, como “BitCoin Connect” o “Gold Miner Coin Dozer”.
De forma adicional Dr. Web aclara que todas las aplicaciones excepto una fueron eliminadas de la Play Store, por lo que Google recibió información del SDK malicioso y retiró las apps hasta que se enviaran versiones limpias.
Por lo pronto, dice Bleep Computer, no está claro si los editores de las aplicaciones fueron engañados por un distribuidor de SDK o lo incluyeron a propósito en el código de sus productos.