Investigadores de la empresa de seguridad estadounidense Palo Alto Networks han descubierto malware de Windows en 132 aplicaciones para Android, aunque esta circunstancia no tendría ningún efecto en el propio sistema operativo.
De acuerdo con los resultados de este estudio, el código malicioso llegó en forma de “pequeños IFrames ocultos” o documentos HTML incrustados dentro de otros documentos HTML que estaban enlazando a dominios maliciosos desde dentro de las aplicaciones.
132 aplicaciones infectadas con un origen similar
Aunque las 132 aplicaciones afectadas son obra de un total de siete desarrolladores que no están relacionados entre sí, Palo Alto Networks señala que todos parecen originarios de Indonesia y que probablemente, ni fueran conscientes de la existencia del malware.
“Nuestra investigación indica que los desarrolladores de estas aplicaciones infectadas no tienen la culpa, pero son ellos las propias víctimas”, dijeron los investigadores. “Creemos que es más probable que las plataformas de desarrollo de los desarrolladores de aplicaciones estuvieran infectadas con malware que busca páginas HTML e inyecta contenido malicioso al final de las páginas HTML que encuentra”.
Las aplicaciones infectadas por este malware son muy variadas, desde apps de recetas hasta algunas otras de diseño o de jardinería sin embargo, todas ellas tienen como denominador común que emplean la misma tecnología para para mostrar las páginas HTML estáticas:
Lo que todas las aplicaciones tienen en común es que emplean Android WebView para mostrar páginas HTML estáticas. A primera vista, cada página no hace nada más que cargar imágenes almacenadas localmente y mostrar texto codificado. Sin embargo, un análisis profundo del código HTML real revela un pequeño IFrame oculto que enlaza con dominios maliciosos bien conocidos. Aunque los dominios vinculados se redujeron en el momento de la investigación, el hecho de que muchas aplicaciones de Google Play están infectadas es notable.
Una de las aplicaciones infectadas con este malware | IMAGEN: Palo Alto Networks
En este caso, el malware detectado no ha causado daño alguno, básicamente porque el archivo que se trata de ejecutar está diseñado para Windows, y no para Android:
Lo que es más notable es que una de las páginas infectadas también intenta descargar e instalar un archivo ejecutable de Microsoft Windows malicioso en el momento de cargar la página, pero como el dispositivo no está ejecutando Windows, no se ejecutará. Este comportamiento se ajusta bien a la categoría de amenazas no Android lanzada recientemente por Google Android Security. Según la clasificación, la amenaza No-Android se refiere a aplicaciones que no pueden causar daño al usuario o al dispositivo Android, pero contiene componentes potencialmente dañinos para otras plataformas.
Sin embargo, Palo Alto Networks advierte que esto podría llevar a un escenario preocupante en el que las plataformas sean utilizadas como portadoras de malware que opera en otros lugares:
Actualmente, las aplicaciones infectadas no causarán daños a los usuarios de Android. Sin embargo, esto representa una forma novedosa de que las plataformas sean una “portadora” del malware: no se infectan, sino que difunden el malware a otras plataformas sin darse cuenta. Similar al ataque XcodeGhost que identificamos en 2015, esta amenaza muestra cómo los desarrolladores atacantes pueden impactar a los usuarios finales.
La compañía de seguridad también ha señalado que, con algunos ajustes previos, los atacantes podrían usar este tipo de malware para “Modificar la lógica interna de la aplicación, es decir, agregar utilidades de enrutamiento, permisos adicionales o dejar archivos APK maliciosos para aumentar sus capacidades”.
Palo Alto que ya ha comunicado su descubrimiento y los resultados de su investigación al equipo de seguridad de Google, y que las aplicaciones infectadas ya han sido eliminadas de la Google Play Store.
Hemos informado de nuestras conclusiones al equipo de seguridad de Google y todas las aplicaciones infectadas se han eliminado de Google Play.
¿Crees que el sistema que tiene Google para encontrar malware está funcionando de la mejor forma posible, especialmente considerando la existencia de miles de millones de dispositivos Android y millones de aplicaciones o, por el contrario, estimas que sus esfuerzos podrían ser mayores?
El artículo Detectado un malware de Windows en más de un centenar de apps de Android ha sido originalmente publicado en Androidsis.
Continúar leyendo...