Más de 50 aplicaciones de Android en Google Play Store, la mayoría de las cuales fueron diseñadas para niños y acumularon casi 1 millón de descargas entre ellas, han sido atrapadas utilizando un nuevo truco para hacer clic en anuncios en secreto sin el conocimiento de los usuarios de teléfonos inteligentes.
Doblado «Tekya«el malware en las aplicaciones imitaba las acciones de los usuarios para hacer clic en anuncios de redes publicitarias como AdMob de Google, AppLovin’, Facebook y Unity, señaló la firma de seguridad cibernética Check Point Research en un informe compartido con The Hacker News.
«Veinticuatro de las aplicaciones infectadas estaban dirigidas a niños (desde rompecabezas hasta juegos de carreras), y el resto eran aplicaciones de utilidad (como aplicaciones de cocina, calculadoras, descargadores, traductores, etc.)», dijeron los investigadores.
Si bien las aplicaciones infractoras se eliminaron de Google Play, el hallazgo de Check Point Research es el último de una avalancha de esquemas de fraude publicitario que han plagado la tienda de aplicaciones en los últimos años, con malware que se hace pasar por optimizadores y aplicaciones de utilidad para realizar clics falsos en anuncios
El malware abusa de la API de MotionEvent para simular los clics de los usuarios
Al afirmar que la campaña clonó aplicaciones populares legítimas para ganar audiencia, se descubrió que las 56 aplicaciones recién descubiertas eludían las protecciones de Google Play Store al ofuscar su código nativo y confiar en la API MotionEvent de Android para simular los clics de los usuarios.
Una vez que un usuario involuntario instaló una de las aplicaciones maliciosas, el malware Tekya registra un receptor, un componente de Android que se invoca cuando ocurre un determinado evento del sistema o aplicación, como el reinicio del dispositivo o cuando el usuario está usando activamente el teléfono.
El receptor, cuando detecta estos eventos, procede a cargar una biblioteca nativa llamada «libtekya.so» que incluye una subfunción llamada «sub_AB2C», que crea y envía eventos táctiles, imitando así un clic a través de la API de MotionEvent.
Un problema continuo de fraude publicitario móvil
El fraude de anuncios móviles se manifiesta de diferentes maneras, incluidos los actores de amenazas que colocan anuncios con malware en los teléfonos de los usuarios o incrustan malware en aplicaciones y servicios en línea para generar clics de manera fraudulenta para recibir pagos de las redes publicitarias.
El análisis del proveedor de seguridad móvil Upstream de los datos de 2019 reveló que las aplicaciones favoritas para ocultar el malware de fraude publicitario son aquellas que pretenden mejorar la productividad o mejorar la funcionalidad del dispositivo. Casi el 23 por ciento de los anuncios maliciosos de Android que encontró Upstream el año pasado pertenecían a esta categoría. Otras aplicaciones que los atacantes usaban con frecuencia para ocultar malware incluían aplicaciones de juegos, entretenimiento y compras.
Google, por su parte, ha estado tratando activamente de evitar que las aplicaciones no autorizadas de Android se infiltren en Google Play Store. Ha aprovechado Google Play Protect como un medio para filtrar aplicaciones potencialmente dañinas y también forjó una «Alianza de defensa de aplicaciones» en asociación con las empresas de seguridad cibernética ESET, Lookout y Zimperium para reducir el riesgo de malware basado en aplicaciones.
Para protegerse de tales amenazas, se recomienda que se limite a Play Store para descargar aplicaciones y evitar la descarga de otras fuentes. Más importante aún, examine las revisiones, los detalles del desarrollador y la lista de permisos solicitados antes de instalar cualquier aplicación.
