Agente Smith, es el nombre con el que se conoce al malware que se disfraza de WhatsApp, abusando de las debilidades previamente conocidas en el sistema operativo Android, lo que hace que la actualización a la última versión del sistema operativo de Google sea una prioridad para todos los dispositivos, dijo la compañía de seguridad israelí, Check Point.
Hasta 25 millones de teléfonos Android han sido atacados con un programa maligno o virus que reemplaza la aplicación oficial de WhatsApp con versiones falsas que ofrecen anuncios, advirtieron los investigadores de ciberseguridad el miércoles.
La mayoría de las víctimas tienen su base en la India, donde, a la fecha, van 15 millones de teléfonos infectados. Pero hay más de 300,000 en Estados Unidos y alrededor de 137,000 en Reino Unido. Lo que hace de esta una de las amenazas más graves que ha afectado al sistema operativo de Google, recientemente.
El malware se ha propagado a través de una tienda de aplicaciones de terceros, llamada, 9apps.com, que es propiedad de Alibaba de China, en lugar de la tienda oficial de Google Play. Por lo general, dichos ataques que no son de Google Play se centran en países en vías de desarrollo, lo que hace que el éxito de los hackers en los EU y en Reino Unido sea más notable, dijo Check Point.
Si bien, las aplicaciones ‘reemplazadas’ ofrecerán anuncios maliciosos, quienquiera que esté detrás de los hackeos podría hacerlo peor, advirtió Check Point en un blog. “Debido a su capacidad para ocultar el ícono del lanzador y suplantar cualquier aplicación popular existente en un dispositivo, existen infinitas posibilidades de que este tipo de malware dañe el dispositivo de un usuario”, escribieron los investigadores.
Dijeron que habían advertido a Google y a las agencias pertinentes de aplicación de la ley. Google no había proporcionado comentarios al momento de esta publicación.
Por lo general, el ataque funciona de la siguiente manera: los usuarios descargan una aplicación de la tienda como: aplicaciones de fotos, juegos o aplicaciones para adultos (una llamada Kiss Game: Touch Her Heart se anuncia con una caricatura de un hombre que besa a una mujer con poca ropa). Esta aplicación luego instala el malware en silencio, disfrazada como una herramienta de actualización legítima de Google.
No aparece ningún icono para esto en la pantalla, lo que lo hace aún más disimulado. Las aplicaciones legítimas, desde WhatsApp hasta el navegador Opera y más, se reemplazan con una actualización maliciosa para que sirvan los anuncios infectados. Los investigadores dijeron que los anuncios en sí mismos no eran maliciosos per se. Pero en un esquema típico de fraude de anuncios, cada clic en un anuncio inyectado enviará dinero a los hackers, según un sistema típico de pago por clic.
Hay algunos indicios de que los atacantes están considerando mudarse a Google Play. Los investigadores de Check Point dijeron que habían encontrado 11 aplicaciones en la tienda de Google que contenían una parte “inactiva” del software de los hackers. Google rápidamente bajó esas aplicaciones de su plataforma.
Check Point cree que una compañía china anónima con sede en Guangzhou ha estado creando el malware, mientras opera una empresa que ayuda a los desarrolladores chinos de Android a promover sus aplicaciones en plataformas en el extranjero.
Alibaba no había respondido a una solicitud de comentarios sobre la proliferación de malware en la plataforma 9apps al momento de la publicación de este artículo.
¿Qué puedes hacer?
Entonces, ¿qué pueden hacer los ansiosos propietarios de Android? El jefe de ciberanálisis y respuesta de Check Point, Aviran Hazum, dijo que si los usuarios experimentan anuncios que se muestran en momentos extraños, como cuando abren WhatsApp, deben actuar. El WhatsApp legítimo, por supuesto, no sirve anuncios.
Primero, ve a la configuración de Android, luego a la sección de aplicaciones y notificaciones. Luego, accede a la lista de información de la aplicación y busca aplicaciones sospechosas con nombres como Google Updater, Google Installer for U, Google Powers y Google Installer. Haz clic en la app sospechosa y elige desinstalar.
Mantenerse alejado de las tiendas de aplicaciones no oficiales de Android podría ser útil, dadas las protecciones adicionales de Google diseñadas para evitar que el malware ingrese al sitio. No es que los esfuerzos de Google siempre den resultados. A principios de esta semana, se emitió una advertencia sobre la propagación de malware de Android en Google Play, que consistía en la grabación de pantalla de sesiones bancarias de los usuarios.