Dado que el 90% de las aplicaciones de Android es gratuito para descargar desde Google Play Store, la publicidad es una fuente clave de ingresos para los desarrolladores de aplicaciones. Para ello, integran la biblioteca de anuncios SDK de Android en sus aplicaciones, que normalmente no afecta a la funcionalidad básica de una aplicación.
Pero los investigadores de seguridad de la firma de seguridad móvil Lookout han descubierto un kit de desarrollo de software (SDK), llamado Igexin, que se ha encontrado entregando software espía en dispositivos Android.
Desarrollado por una empresa china para ofrecer servicios de publicidad dirigidos a los desarrolladores de aplicaciones, el software de publicidad "Igexin" fue detectado en más de 500 aplicaciones en el mercado oficial de Google, la mayoría de las cuales incluían:
- Juegos dirigidos a adolescentes con hasta 100 millones de descargas
- Aplicaciones meteorológicas con hasta 5 millones de descargas
- Photo editor apps con 5 millones de descargas
- Aplicación de radio por Internet con 1 millón de descargas
- Otras aplicaciones dirigidas a educación, salud y fitness, viajes y emoji
Firma de publicidad china espía a usuarios de Android
El Igexin SDK fue diseñado para que los desarrolladores de aplicaciones puedan publicar anuncios dirigidos a sus usuarios y generar ingresos. Para ello, el SDK también recopila datos de usuario para ayudar a segmentar anuncios basados en intereses.
Pero además de recolectar datos de usuarios, los investigadores de Lookout dijeron que encontraron que el SDK se comportó maliciosamente después de haber detectado varias aplicaciones integradas a Igexin que se comunicaban con direcciones IP maliciosas que entregaban malware a dispositivos desconocidos para los creadores de aplicaciones que lo utilizaban.
"Observamos una aplicación que descarga archivos grandes cifrados después de hacer una serie de solicitudes iniciales a una API REST en http: // sdk [.] Open [.] Phone [.] Igexin.com/api.php, que es un punto final utilizado por el Igexin ad SDK ", explican los investigadores en un blog.
"Este tipo de tráfico es a menudo el resultado de un malware que descarga y ejecuta código después de instalar una aplicación" limpia "inicial, con el fin de evadir la detección".Una vez que el malware se entrega a los dispositivos infectados, el SDK puede recopilar registros de la información de los usuarios de su dispositivo y también puede instalar de forma remota otros complementos a los dispositivos, que podrían grabar registros de llamadas o revelar información sobre las actividades de los usuarios.
Cómo proteger tu Android de este malware
Desde entonces, Google ha eliminado todas las aplicaciones de Android que utilizan el SDK fraudulento de su mercado de Play Store, pero los que ya han instalado una aplicación de este tipo en sus dispositivos móviles, asegúrese de que su dispositivo tenga Google Play Protect .
Play Protect es la nueva funcionalidad de seguridad de Google que utiliza el aprendizaje de las máquinas y el análisis del uso de las aplicaciones para eliminar (desinstalar) aplicaciones maliciosas de los usuarios con teléfonos inteligentes Android para evitar más daños.
Además, se recomienda encarecidamente que mantenga siempre una buena aplicación antivirus en su dispositivo que pueda detectar y bloquear aplicaciones malintencionadas antes de que puedan infectar su dispositivo y mantenga siempre el dispositivo y las aplicaciones actualizados.
El malware de Android continúa evolucionando con capacidades más sofisticadas e inéditas con cada día que pasa. El mes pasado, vimos el primer malware de Android con capacidades de inyección de código haciendo rondas en Google Play Store.
Unos días después, los investigadores descubrieron otra maliciosa librería de anuncios Android SDK , denominada " Xavier " , que se encuentra instalada en más de 800 aplicaciones diferentes que se descargaron millones de veces desde Google Play Store.
fuente :https://thehackernews.com/2017/08/android-spyware-malware.html
