En el I/O de este año, Google anunció Play Protect, un proceso de revisión de apps de cara al usuario de teléfonos Android basado en la vieja Verify Apps. Básicamente, escanea las apps que instalar, comparando su contenido con componentes de malware conocidos, y te notifica si se encuentra algún riesgo potencial. Y resulta que no es infalible, dado que paquetes de malware antiguo han conseguido burlar su revisión. La gente de Check Point identificó el malware “empaquetado” que llaman ExpensiveWall, por la app que contiene el malware llamado “Lovely Wallpaper.” Registra usuarios en servicios Premium a través de SMS sin que lo sepan, cobrándoles servicios en sus cuentas que no quieren y de los que los creadores del malware se benefician.
Sin embargo, de acuerdo a Check Point, el malware podría ser usado para acciones incluso más peligrosas, como robo de datos o grabación de multimedia remota.
Para simplificar el proceso: apps como ExpensiveWall pieden permisos de SMS e internet, conectan a un servidor remoto a intervalos regulares y corren lo les envía el server en un WebView embebido. Si sigues la seguridad Android, esto podría sonarte un poco familiar, y es porque es básicamente idéntico a otro malware descubierto a principios de año. De acuerdo a Check Point, Play Protect ha sido configurado para detectar este malware previamente, pero ahora ha sido “empaquetado” para burlar las revisiones existentes.
El empaquetado, en esta instancia, es en efecto otro nombre para la ofuscación, que es un método usado por desarrolladores de software que pretenden esconder la funcionalidad pretendida de un software. La ofuscación en este caso fue significativa, tanto como para burlar los sistemas automatizados del Play Protect de Google, para conseguir de 5 a 20 millones de infecciones por todas las apps afectadas en Google Play.
Check Point no ha hecho mención de sus comunicaciones con Google sobre esta nueva variante de malware, pero esperamos que las aplicaciones culpables sean eliminadas, y que Play Protect sea actualizado para captar el malware “empaquetado”. Probablemente solo sea cuestión de tiempo hasta que se descubra más malware ofuscado.
