Durante los últimos días se realizó el reporte de una serie de aplicaciones maliciosas publicadas en el Android Market, bajo el nombre de "Gone in 60 seconds". Entre las funcionalidades con las que cuenta esta aplicación maliciosa se encuentra la recopilación de información del teléfono, con el objetivo de una realizar el robo de información simulando ser una aplicación de backup, para luego solicitar un pago al usuario para acceder a la información.
Todos los usuarios de Android, el sistema operativo de Google, cuentan con un repositorio oficial en dónde pueden acceder para descargar aplicaciones pagas y gratuitas. El Android Market cuenta con cientos de miles de juegos, aplicaciones y herramientas que son accesibles para todos los usuarios. Debido a estas características, ha sido en más de una ocasión el objetivo de los desarrolladores de códigos maliciosos, ya que si pueden publicar su código malicioso allí, la cantidad de usuarios que podrían infectar su equipo es muy alta, como sucedió anteriormente con DroidDream.
Como comentamos anteriormente, los desarrolladores de este código malicioso encontraron la manera de publicar su amenaza en el Android Market para que esté disponible para todos los usuarios. Su objetivo es claro, simula ser una aplicación para realizar una copia de seguridad de la información del dispositivo, pero en realidad si el usuario desea acceder a esa información deberá pagar una suma de dinero.
La primera vez que el usuario ejecuta la aplicación en su dispositivo móvil, toda la información contenida en él incluyendo sus contactos, mensajes de texto, historial de llamadas y el historial del navegador son enviados a un servidor remoto. Una vez que finaliza la ejecución de este código malicioso, la aplicación se puede desinstalar, ya que supuestamente todos los datos serán accesibles desde una página web.
El inconveniente para el usuario surge al momento de intentar recuperar su información, ya que al ingresar al sitio web provisto por la aplicación e ingresar el código de 5 dígitos, solo va a poder acceder a sus contactos. Para poder recuperar el resto de la información deberá de realizar el pago de 5 dólares. Toda la información de su dispositivo se encuentra ahora en mano de los atacantes.
Al investigar la aplicación hemos encontrado que la información entre el dispositivo y el sitio web viaja cifrada, lo que ante un simple análisis podría no llamar la atención. En realidad todos los datos del usuario viajan a través de la red son convertidos a Base64 por el código malicioso. Entre la información enviada se pueden diferenciar los campos que contienen el código de activación y la información de los contactos de la víctima entre otras cosas.
Siempre, al momento de realizar la instalación de una aplicación en los dispositivos móviles, se recomienda a los usuarios el asegurarse de la reputación del desarrollador, los permisos que solicita y además utilizar herramientas de seguridad que permita una correcta administración de su información.
Pablo Ramos
Especialista en Awareness & Research