Noticias

Los anuncios de Facebook promocionan aplicaciones con malware HiddenAds, infecta a más de 1 millón de usuarios

Los investigadores del McAfee Mobile Research Team han descubierto un nuevo malware, llamado anuncios ocultosen Google Play Store, que se disfraza como un limpiador del sistema para eliminar archivos basura en los dispositivos o uno que puede ayudar a optimizar la duración de la batería para la administración del dispositivo.

Las aplicaciones infectadas se disfrazan y se promocionan agresivamente en Facebook mostrando a las víctimas anuncios continuos de varias maneras. Una vez que este malware se instala en el dispositivo de la víctima, ejecuta automáticamente los servicios maliciosos tras la instalación sin siquiera requerir la interacción del usuario para abrir las aplicaciones.

Para promocionar estas aplicaciones entre nuevos usuarios, los autores del malware crearon páginas publicitarias en Facebook, porque es el enlace a Google Play el que se distribuye a través de redes sociales legítimas, dejando pocas dudas a los usuarios.

Las aplicaciones de adware abusan del componente Android Contact Provider, que permite la transferencia de datos entre el dispositivo y los servicios en línea. Para ello, Google proporciona una clase ContactsContract, que es el contrato entre el proveedor de contactos y las aplicaciones.

“En ContactsContract, hay una clase llamada Directorio. Un directorio es un cuerpo de contacto y se implementa como un proveedor de contenido con su autoridad única. Entonces, los desarrolladores pueden usarlo si quieren implementar un directorio personalizado. El proveedor de contacto puede identificar que la aplicación está usando un directorio personalizado al verificar los metadatos especiales en el archivo de manifiesto”, McAfee escribe en una entrada de blog.

“Lo más importante es que Contact Provider consulta automáticamente los paquetes recién instalados o nuevos. Por lo tanto, si se instala un paquete que contiene metadatos especiales, siempre se llamará automáticamente al proveedor de contactos”.

La primera actividad de este malware es crear un servicio permanente para mostrar los anuncios. Si el proceso de servicio se «mata» (termina), se regenera inmediatamente.

Proceso de servicio malicioso

Luego, cambian sus íconos y nombres usando el ocultar etiqueta.

cambiar iconos

Según McAfee, estas aplicaciones ya han sido instaladas por entre 100 000 y más de 1 millón de usuarios. A continuación se muestra la lista de números de descarga inusuales para tales aplicaciones:

  1. Limpiador de basuracn.junk.clean.plp, más de 1 millón de descargas
  2. EasyCleanercom.easy.clean.ipz, 100K+ descargas
  3. doctor poder,power.doctor.mnb, 500K+ descargas
  4. Super limpiocom.super.clean.zaz, 500K+ descargas
  5. Neto total– Limpieza de caché, org.stemp.fll.clean, más de 1 millón de descargas
  6. limpiador de dedoscom.fingertip.clean.cvb, más de 500 000 descargas
  7. Limpiador rápidoorg.qck.cle.oyo, más de 1 millón de descargas
  8. Manténlo limpioorg.clean.sys.lunch, más de 1 millón de descargas
  9. Viento limpioin.phone.clean.www, 500K+ descargas
  10. alfombra limpiaog.crp.cln.zda, 100K+ descargas
  11. fresco limpiosyn.clean.cool.zbc, más de 500.000 descargas
  12. limpieza fuertein.memory.sys.clean, más de 500 000 descargas
  13. Meteorito limpioorg.ssl.wind.clean, más de 100 000 descargas

La mayoría de los usuarios afectados pertenecen a países como Corea del Sur, Japón y Brasil. McAfee ya ha revelado esta amenaza a Google y el gigante de las búsquedas ha eliminado todas las aplicaciones denunciadas de Play Store.

Por si acaso, si alguna de las aplicaciones mencionadas anteriormente está instalada en su teléfono inteligente Android, se recomienda desinstalarla manualmente del dispositivo.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!