Los expertos de G Data SecurityLabs han detectado el regreso al Android Market de varias aplicaciones desarrolladas por Typ3-Studios que habían sido eliminadas por alojar código malicioso. Parece que ha bastado un ligero cambio estético y el añadido de un EULA (End User License Agreement, acuerdo de licencia que acepta el usuario del software) para que vuelvan a estar disponibles en el popular mercado de Google.
Estas aplicaciones, todas aparentemente inocuas, roban datos personales y promocionan con anuncios otras apps del mismo desarrollador. La sola presencia de un EULA no debería ser suficiente para legitimar un comportamiento cuando menos sospechoso.
Las mencionadas apps maliciosas estuvieron oficialmente disponibles en el Android Market hasta que el pasado 4 de julio de 2011, cuando un profesor de la Universidad de Carolina del Norte alertó de su presencia. Se trataba de programas muy sencillos y frecuentes que, por ejemplo, imitaban el sonido de una ruidosa bocina (Airhorn) o añadían al terminal la función de linterna (Flahslight).
A simple vista se trataba de programas inocuos pero que, una vez instalados, completaban sus funciones con algunos «servicios añadidos» que, sin el consentimiento del usuario, enviaban información personal (datos de contacto, el número teléfono o el código IMEI -International Mobile Equipment Identity- que identifica cada terminal) a los servidores de Typ3-Studios.
Además, después de ser instaladas las aplicaciones empezaban a mostrar anuncios de otras aplicaciones del mismo desarrollador.
En agosto de 2011, los mismos desarrolladores volvieron a lanzar las mismas aplicaciones por segunda vez. Entre las novedades, unos ligeros retoques estéticos y un contrato EULA que describe las funciones del programa. A este documento se alude en el apartado «novedades» («please, read the new Private Policy and Terms in the app menú») y está lo suficientemente escondido como para que los potenciales usuarios no se percaten de la advertencia.
En cualquier caso, es necesario descargar la aplicación para poder leer el mencionado acuerdo de licencia. Las «nuevas» apps mantienen las mismas funciones maliciosas aunque los desarrolladores han cambiado el cifrado de la transmisión de los datos (requisito para mantenerse en el en el GoogleMarket) de forma que la información enviada viaja ahora encriptada hasta sus destinatarios.
Estas aplicaciones están todavía disponibles en el AndroidMarket y ya han superado las 10.000 descargas cada una. Los usuarios de G Data MopbileSecurity están protegidos de esta amenaza, que es bloqueada y detectada como ‘Riskware’.
[tags]apps,malware,android[/tags]