En ocasiones, las aplicaciones Android esconden ciertos elementos que pueden infectar nuestros dispositivos personales. Y no hace falta que nos remontemos mucho tiempo atrás, porque la semana pasada, Google bloqueó una app de una importante empresa china del e-commerce. Hablamos del malware o como popularmente se le conoce, virus. Y el sistema operativo de Google ha sido objetivo de estos durante su historia.
El caso de hoy no es muy distinto, pues se ha revelado que la app de una tienda china también contenía software malicioso, llegando a afectar a más de 700 millones de dispositivos Android. Te contamos qué tienda es y qué ha sucedido.
Pinduoduo: varias versiones de su app contenían malware
La tienda china en cuestión es Pinduoduo, que pertenece a PDD Holdings, un entramado empresarial de origen asiático. Pues bien, al menos dos versiones de su app para Android contienen virus, aunque estas ya no se pueden descargar desde Play Store porque Play Protect localizó el malware.
Igualmente, han estado circulando por tiendas alternativas, y estas dos versiones aprovechaban el exploit CVE-2023-20963. Como curiosidad, Google parcheó esta vulnerabilidad hace unas semanas. Christoph Hebeisen, uno de los investigadores que analizaron el archivo, confirma que estos exploits ponen en riesgo a los usuarios que "deben protegerse", y asegura que con un análisis más exhaustivo, aparecerán más amenazas.
Pinduoduo pone en contacto a vendedores y compradores a través de una plataforma en la que participan una media de 751,3 millones de usuarios al mes. Por otro lado, los representantes de esta empresa negaron que su aplicación fuera maliciosa. Es más, vía correo electrónico afirmaron que Google Play suspendió temporalmente la app por no cumplir con la política de Google, negando cualquier respuesta al resto de mortales.
Los primeros indicios de este desafortunado encuentro aparecieron en un artículo de un servicio de investigación llamado Dark Navy. Este grupo comentaba que seguirán sacando vulnerabilidades relacionadas con Android, e implementando ataques a los sistemas de telefonía móvil, sin nombrar a la app que hoy es noticia. Eso sí, contaban que la app utilizaba un "exploit de serialización y deserialización de paquetes Android" que se desconocía hasta el momento.
Más tarde, se encontró en GitHub un repositorio que contenía más detalles, estos confirmaban la funcionalidad maliciosa de las aplicaciones de Pinduoduo. De ahí al movimiento de Google, que como hemos dicho suspendió la app, solo pasaron algunos días.
Una política un tanto sucia para mejorar los números de la empresa, y robar datos
La vulnerabilidad nombrada consigue una escalada de los privilegios de Android, pudiendo instalar apps de forma encubierta. Es más, estas instalaciones "ocultas" tampoco permitían su desinstalación posterior. Además, se utiliza para inflar el número de usuarios activos, para desinstalar aplicaciones de la competencia y con el objetivo de robar datos privados a los usuarios.
Para seguir con el susto que supone esto, también se descubrieron otras habilidades maliciosas, como la posibilidad de añadir widgets, seguimiento de las estadísticas de uso de las aplicaciones instaladas, acceso a información del WiFi y ubicación, análisis de las notificaciones... Vamos, que nos podía hacer un desaguisado si llegase a infectar nuestro dispositivo.
La cadena de exploits analizada, que se encontraba en algunas versiones, hacía referencia a EvilParcel, un tipo de exploit utilizado desde 2012 para conseguir privilegios en el sistema Android. Sí que esta vulnerabilidad fue corregida, pero se puede eludir con la técnica que hemos nombrado.
A pesar de la negación por parte de la empresa, hay pocas dudas de que el código conseguía acceso a los dispositivos de los usuarios porque ambas versiones estaban firmadas con la clave oficial. Por tanto, ¿Cómo se permitió que estas apps contuviesen código malicioso? Las posibles razones que argumentan en el medio apuntan a una distribución intencionada, al trabajo de un infiltrado en la empresa, o bien a un ataque a la cadena de suministros.
Sea como sea, la aplicación fue localizada y eliminada por Google. Si has descargado la app desde Google Play Store o App Store, no deberías tener ningún problema pues estas fuentes no han albergado las versiones con código malicioso. Sin embargo, el alcance parece haber sido mayor en otros territorios que no dependen tanto de los servicios de la compañía de Mountain View.
Vía | Ars Technica
Imagen de portada | Pepu Ricca con Bing Image Creator
En Xataka Móvil | Estos son todos los tipos de malware que pueden infectar tu móvil
Ver 2 comentarios