Investigadores de la empresa de ciberseguridad Bitdefender han descubierto una campaña de ‘malware’ que impulsa agresivamente los anuncios maliciosos en dispositivos Android para generar ingresos, y que está actuando de forma oculta en dispositivos de todo el mundo afectando a hasta 60.000 aplicaciones.
El ‘adware’ es una forma de ‘malware’ (virus informático) basado en la publicidad que se introduce en aplicaciones y permite al desarrollador ofrecer productos de forma gratuita al público pero, a cambio, sigue recibiendo el pago de una empresa de publicidad.
Estos anuncios pueden presentarse tanto como ventanas emergentes o como imágenes y vídeos. Así, aparentemente no suponen un problema pero, tal y como advierten los expertos en ciberseguridad, detrás de estos anuncios puede haber un programa sospechoso que monitorice la actividad del usuario.
En este marco, investigadores de la compañía de ciberseguridad Bitdefender han descubierto una nueva campaña global de ‘malware’ que impulsa «agresivamente» ‘adware’ de forma oculta en dispositivos Android y que ha estado activa durante un periodo prolongado, de más de seis meses, posiblemente por la ausencia de capacidades de detección basadas en comportamiento en Android.
Tal y como han analizado los investigadores y han compartido en un comunicado, esta campaña tiene el objetivo de generar ingresos. Sin embargo, los actores maliciosos también pueden utilizarla para redirigir a los usuarios a «otros tipos de malware» como son los troyanos bancarios para robar credenciales o el ‘ransomware’.
La campaña se ha propagado a nivel mundial, y se han descubierto alrededor de 60.000 aplicaciones únicas que contienen ‘adware’. Sin embargo, desde Bitdefender han avisado de que es probable que haya muchas más aplicaciones con ‘adware’ en circulación.
Algunos ejemplos, tal y como ha apuntado Bitdefender, son VPN gratis, plataformas como Netflix, programas de seguridad falsos y juegos con funciones desbloqueadas. De hecho, por lo general, las aplicaciones modificadas son aplicaciones originales que incluyen todas sus funciones desbloqueadas o presentan cambios en la programación inicial.
En cuanto a cómo se muestran los anuncios, vez el usuario desbloquea el móvil, la aplicación falsa obtiene una URL de ‘adware’ del servidor y, a través del navegador móvil, carga el anuncio. Asimismo, utiliza bibliotecas de ‘adware’ para mostrar un anuncio de pantalla completa.
En la investigación, también se ha descubierto que los ciberdelincuentes son capaces de saltar un mecanismo de incluye Google para evitar ocultar iconos de aplicaciones en la pantalla de inicio. Desde API 30, Google eliminó la capacidad de ocultar el icono de la aplicación en Android una vez que se registra un iniciador.
Así, para evitar esta medida, los actores maliciosos evitan que la aplicación registre algún iniciador y solo depende del usuario y del comportamiento de instalación predeterminado de Android para ejecutarse por primera vez.
El hecho de que no tenga un icono hace que esta ‘app’ y el ‘adware’ sean más difíciles de detectar y, por tanto, de desinstalar. Además, una vez instalada, la aplicación se abre automáticamente y muestra un error que indica que no se ha instalado correctamente haciendo creer al usuario que ha sido un fallo y que no dispone de la ‘app’.
De esta forma, el usuario solo podrá eliminar la aplicación falsa desde el administrador de aplicaciones de Android en la aplicación de Ajustes.
