Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Espionaje masivo en cientos de aplicaciones de Google Play para Android


Google ha quitado varias aplicaciones para Android de la Play Store tras descubrirse que incluían código que recopilaba datos a espaldas de los usuarios y los transmitía a los servidores de una empresa que supuestamente realiza tareas de ciberinteligencia.



Google prohíbe aplicaciones con software de recopilación de datos ocultos

Google ha eliminado una amplia selección de aplicaciones para Android de la Play Store, tras detectarse que incluían un spyware que robaba información sensible. Según recoge The Wall Street Journal, la recopilación de datos correría por cuenta de una firma que supuestamente cumpliría labores de ciberinteligencia para Estados Unidos.

La presencia del software espía fue detectada por la compañía AppCensus, que publicó un detallado informe en su blog. El mismo explica cómo varias apps —a simple vista inofensivas y con millones de descargas— incluyen un SDK (coelib.c.couluslibrary) que reúne un muy amplio abanico de datos de los dispositivos en los que son instaladas, y los transmite a los servidores de una empresa registrada en Panamá bajo el nombre Measurement Systems.



Después de una ardua búsqueda, los investigadores detectaron que el dominio del sitio web de dicha compañía se registró a nombre de VOSTROM Holdings; una firma con base en Virginia, Estados Unidos, que también tiene otros cuantos registros en su haber. Según WSJ, dicha compañía sería contratista de defensa y realizaría labores de ciberinteligencia, intercepción de datos y defensa de redes para agencias de seguridad norteamericanas. Incluso se menciona que la interacción con las autoridades no se realizaría de modo directo, sino mediante una subsidiaria llamada Packet Forensics.

Google elimina aplicaciones que recolectaban datos a granel

Un punto que ha llamado la atención de los investigadores es que el código que se encargaba de recopilar la información a espaldas de los usuarios no funcionaba de la misma forma en todas las apps que lo incluían, incluso aunque utilizaran la misma versión del SDK.

Así, por ejemplo, se detectó que una app que permitía utilizar el smartphone como el ratón de un ordenador recopilaba y transmitía la dirección MAC del router al cual el dispositivo estaba conectado. Esta utilidad tenía más de 10 millones de descargas en todo el mundo.

Otra de las aplicaciones denunciadas a Google por contener el spyware fue un widget de información del clima con más de 1 millón de descargas. AppCensus detectó que podía "capturar" todo lo que se copiaba en el portapapeles y lo enviaba a los servidores de Measurement Systems. Así, si los usuarios copiaban una contraseña o cualquier otro dato sensible, iban a parar a manos ajenas.

Y también se han encontrado con casos más extremos, como el de un lector de códigos de barras y QR con más de 5 millones de descargas desde la tienda de Google. Dicha app podía recopilar números telefónicos, direcciones de correo electrónico, la ubicación precisa del dispositivo vía GPS, el IMEI del móvil, el nombre público (SSID) de las redes WiFi y la dirección MAC de los routers a los que se conectaba.


Lógicamente, estamos haciendo mención a solo algunos de los casos hallados por los especialistas. De hecho, AppCensus publicó el listado con las demás apps en las que detectaron el SDK de Measurement Systems y su alcance es muy variado; desde aplicaciones que alertan sobre la presencia de radares de velocidad en las carreteras, hasta plataformas de mensajería, herramientas de audio y guías para rezar.

Si bien esta información se conoció públicamente en las últimas horas, los hallazgos no son nuevos. Los investigadores informaron a Google sobre la presencia de este spyware en octubre de 2021; desde entonces, los de Mountain View han eliminado estas aplicaciones y otras en las que también detectaron la presencia del código malicioso.

No obstante, el bloqueo podría no tener un impacto global. Al momento de redactar este artículo hemos seguido algunos de los enlaces a la Play Store incluidos en el informe original y las aplicaciones siguen apareciendo disponibles para instalar (al menos desde Argentina).

Measurement Systems llevó su SDK malicioso a una gran cantidad de apps mediante un programa de monetización. A través de su sitio web ofrecían pagar a los desarrolladores "el CPM [costo por mil impresiones] más alto por sus datos", y mencionaban que lo harían sin utilizar anuncios por tratarse de "una estrategia de monetización alternativa".

"Al firmar contratos exclusivos con empresas de telecomunicaciones, comercializadores e institutos de investigación, brindamos a nuestros desarrolladores de aplicaciones los pagos más altos", aún se puede leer en su sitio web. Y según le manifestó un desarrollador a The Wall Street Journal, el objetivo primario de la compañía panameña era conseguir información de usuarios en países de Medio Oriente, Asia, y Europa Central y del Este.

Por otra parte, los expertos en ciberseguridad accedieron al tutorial que explicaba a los desarrolladores cómo incluir el spyware en sus aplicaciones. Así, se estima que el código ha llegado a no menos de 60 millones de dispositivos. Y por más que Google haya eliminado las apps de la Play Store (aunque sea regionalmente), seguro siguen instaladas en millones de móviles; eso continuará siendo un problema, hasta que se constate que futuras versiones de las mismas ya no incluirán el software espía.

Los especialistas encontraron que las apps dejaron de recolectar y transmitir información tras notificar su descubrimiento a Google. Y como para que el manto de sospecha sea aún mayor, los registros DNS de la dirección que se utilizaba para transmitir los datos recopilados al servidor de Measurement Systems han sido actualizados para apuntar al valor no enrutable 127.0.0.1; en tanto que los datos públicos de WHOIS para la web de la compañía panameña también se modificaron y ya no mencionan a VOSTROM Holdings.

Fuentes:

https://blog.appcensus.io/2022/04/06/the-curious-case-of-coulus-coelib/
https://hipertextual.com/2022/04/google-elimina-apps-android-ciberespionaje


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.