El malware es una tónica que no para de repetirse todos los meses en Android, donde hay aplicaciones que consiguen saltarse los filtros de Play Protect y acaban llegando a la Play Store. Ahora, una nueva app no solo mostraba anuncios de manera oculta, sino que además se hacía pasar por la Play Store.
Así lo ha anunciado Sophos Labs, que ha descubierto 15 aplicaciones de Android que lanzaban anuncios a pantalla completa de manera intrusiva, y con mucha frecuencia. El comportamiento de las 15 aplicaciones era similar, teniendo un código parecido pero con diversas modificaciones.
Así, el comportamiento más común era que la aplicación, después de instalarse, borraba su icono del launcher para hacer más difícil el eliminarla. Otras incluso llegaban a cambiar su nombre para no encontrarla ni siquiera en el apartado de Aplicaciones de los Ajustes del móvil.
Una aplicación como Flash On Calls & Messages lo que hacía era que, al abrirla, lanzaba un mensaje diciendo “Esta aplicación no es compatible con tu dispositivo”, siendo ese un error común que se muestra antes de instalar una aplicación, y no después. Además, para evitar levantar sospechas, la aplicación te lleva a la página de Google Maps en la Play Store para darte a entender que esa es la aplicación que está causando problemas.
Sin embargo, lo que ha hecho la app en segundo plano es esconder su icono. En otros casos, además de esconderlo, también cambia el nombre en los ajustes, siendo este diferente a cuando abrimos la app para evitar que lo encuentres. Entre las apps por las que se hace pasar se encuentran algunas con nombres tan inocuos como “Update, Back Up o Time Zone Service”, con un icono por defecto del sistema. La app llega a ir incluso más allá y cambia su nombre a Google Play Store, con icono incluido. 9 de las 15 aplicaciones usaron este método.
La mayoría de las apps ofrecían un uso supuesto muy concreto, como lectores de códigos QR, editores de fotos, herramientas de copia de seguridad, e incluso una para cerrar aplicaciones “basura” en segundo plano, por paradójico que suene. En total se detectaron más de 1,6 millones de instalaciones entre las apps. Una de ellas llegó a tener más de un millón un mes después de instalarse. Todas las apps eran subidas desde cuentas de desarrollador distintas, pero muchas compartían código; incluso algunas tenían referencias a otras apps previas que habían sido eliminadas ya.
La mayoría de comentarios en las apps eran negativos, diciendo que el móvil no para de mostrar anuncios y de que desaparecía. Google ha eliminado ya toda presencia de estas apps, y los antivirus ya las reconocen como Andr/Hiddad-AB y Andr/Hiddad-AC.