Facebook vuelve a estar en el punto de mira al revelarse que los anuncios de la plataforma promocionaban aplicaciones con el malware HiddenAds.
Este malware afectó a más de un millón de usuarios y dio a los hackers acceso a sus dispositivos.
Aunque Facebook ya ha eliminado estas aplicaciones, es un buen recordatorio para estar atentos al hacer clic en enlaces o descargar archivos de cualquier sitio web, especialmente de Facebook.
Los investigadores del equipo de investigación móvil de McAfee han descubierto un nuevo malware, apodado HiddenAds, en la Google Play Store, que se disfraza de limpiador del sistema para eliminar archivos basura en los dispositivos o de uno que puede ayudar a optimizar la duración de la batería para la gestión de los mismos.
El equipo de investigación móvil de McAfee ha descubierto un nuevo malware, apodado HiddenAds, en la Google Play Store que se disfraza de limpiador del sistema para eliminar archivos basura de los teléfonos o de uno que puede mejorar la duración de la batería para su gestión.
Facebook, que sigue siendo la principal red social del mundo, es el lugar donde el malware se propaga a través de enlaces peer-to-peer (P2P). Las aplicaciones maliciosas se esconden y comercializan agresivamente en Facebook mostrando anuncios a las víctimas de diversas maneras. Este malware ejecuta automáticamente servicios dañinos cuando se instala en el dispositivo del usuario.
Los autores del malware utilizaron medios sociales legítimos para distribuir enlaces a Google Play, dejando poco margen de duda a los usuarios, con el fin de promocionar estas aplicaciones a nuevos consumidores.
Las aplicaciones de adware se basan en el componente Android Contact Provider, que permite la transferencia de datos entre el dispositivo y los servicios en línea. Google proporciona la clase ContactsContract como medio para que las aplicaciones interactúen con el proveedor de contactos.
«En ContactsContract, hay una clase llamada Directory que representa una colección de contactos. Está implementada como un proveedor de contenido con su propia autoridad, por lo que los desarrolladores pueden utilizarla si desean crear su propio directorio. Los desarrolladores pueden utilizarla si desean crear su propio directorio comprobando los metadatos específicos en el archivo de manifiesto», explica McAfee en una entrada del blog.
«El aspecto más importante es que el Contact Provider es llamado automáticamente cuando se instala un paquete nuevo o reemplazado. Como resultado, cada vez que se instale un paquete con metadatos especiales, se llamará al Proveedor de Contactos inmediatamente»
El primer paso de este malware es establecer un servicio de publicidad permanente. Si se «mata» el proceso del servicio, se reanuda inmediatamente.
Según McAfee, los usuarios ya han instalado estos programas entre 100.000 y más de un millón de veces. A continuación se muestran los recuentos de descargas de las aplicaciones con descargas especialmente elevadas:
- Junk Cleaner, cn.junk.clean.plp, 1M+ descargas
- EasyCleaner, com.easy.clean.ipz, 100K+ descargas
- Power Doctor, power.doctor.mnb, 500K+ descargas
- Super Clean, com.super.clean.zaz, 500K+ descargas
- Full Clean-Limpia Caché, org.stemp.fll.clean, 1M+ descargas
- Fingertip Cleaner, com.fingertip.clean.cvb, 500K+ descargas
- Limpiador rápido, org.qck.cle.oyo, 1M+ descargas
- Keep Clean, org.clean.sys.lunch, 1M+ descargas
- Windy Clean, in.phone.clean.www, 500K+ descargas
- Carpet Clean, og.crp.cln.zda, 100K+ descargas
- Cool Clean, syn.clean.cool.zbc, 500K+ descargas
- Strong Clean, in.memory.sys.clean, 500K+ descargas
- Meteor Clean, org.ssl.wind.clean, 100K+ descargas
Los usuarios de países como Corea del Sur, Japón y Brasil son los más afectados. Tras conocer la amenaza, Google eliminó rápidamente de la Play Store todos los programas denunciados.
Si tiene alguna de las aplicaciones mencionadas anteriormente en su teléfono Android, se sugiere que las elimine manualmente.
