La firma de seguridad estadounidense ZScaler descubrió en la Play Store una aplicación maliciosa que se hacía pasar como actualización de seguridad para Android.
La aplicación en realidad contenía un spyware que recogía información sobre la ubicación geográfica del usuario, y permaneció sin ser detectada desde 2014. La compañía de seguridad bautizó el código malicioso como “SMSVova”, en virtud de que su funcionamiento se basaba en el uso de mensajes de texto por parte del usuario. Explican que el spyware, una vez instalado se quedaba a la espera de un SMS proveniente de un ciberatacante, al que enviaría la geolocalización de la víctima, información que el atacante podría utilizar en provecho propio.
La detección del spyware se logró a partir de las malas reseñas que tenía en la Store. Se promovía como una app que instalaría las últimas actualizaciones de seguridad para Android, pero lo que obtenían los usuarios que la usaban era un mensaje: “Desafortunadamente, el Servicio de Actualizaciones se halla detenido”. También les hizo sospechar que la aplicación no ofrecía ninguna descripción detallada, más allá de decir que era “la última actualización del SO Android”.
A pesar de todo esto, la aplicación mostraba que su última versión actualizada fue subida a la Store a finales de 2014. Una de las reseñas negativas que tenía la aplicación estaba fechada en noviembre de 2016. Tomando en cuenta que Google acaba de retirar la app de la Play Store, significa que el spyware ha pasado allí más de dos años, incluso pudieron ser tres, sin haber sido detectado. En ese tiempo pudo descargarse cientos de miles de veces, dicen los expertos.
Shivang Desai, experto de ZScaler, explica que hay aplicaciones diseñadas para espiar la localización de un teléfono y reportarla a algún sitio, como las que usan padres preocupados por sus hijos o personas que sospechan infidelidades de su cónyuge. Pero esas aplicaciones abiertamente dicen lo que hacen. La diferencia en este caso es que el spyware se disfraza de otra cosa.