Encontrados 2 troyanos explotando la amenaza Master Key de Android

Dos aplicaciones distribuídas en varios marketplaces de China están explotando la vulnerabilidad «Master Key» de Android que comentamos recientemente. El hallazgo viene de la mano de los expertos de Symantec.

La vulnerabilidad «master key» –publicada a principios de este mes – permite a los atacantes modificar aplicaciones existentes originales e insertar malware en ellas manteniendo exactamente la misma firma de autenticidad en el paquete. Cuando Android abre el paquete, valida exclusivamente la primera firma encontrada, desechando la segunda, ya que piensa que ya ha sido validada anteriormente. El principal problema que ocasiona es que permite al atacante explotar esta situación para crear aplicaciones maliciosas enmascaradas como legítimas y de esta forma tomar el control remoto del aparato.

Android MasterKey

Symantec encontró recientemente 2 aplicaciones en un market de China que aprovechan la situación. Según el Symantec Security Response blog estas aplicaciones son empleadas para concertar citas con el médico.

Se espera que sigan proliferando este tipo de aplicaciones, aprovechando el desconocimiento que los usuarios tienen del asunto.

El desarrollador de la app explotó la vulnerabilidad para añadir un malware llamado Android.Skullkey. Este troyano roba información de teléfonos comprometidos, monitoriza los textos recibidos y escritos mediante el teclado. También envía mensajes SMS a números premium o de tarificación adicional. También es capaz de desactivar la suite de seguridad existente en dichos dispositivos.

¿Está Google buscando estas aplicaciones?

El informe de Symantec llega unos días después de que Bitdefender encontrase dos aplicaciones en Google Play que estaban usando nombres duplicados, pero no de forma maliciosa. Rose Wedding Cake Game y Pirates Island Mahjong contienen dos imágenes PNG duplicadas que forman parte de la interfaz.

Bitdefender comentó al respecto que no emplearon la vulnerabilidad en ningún caso para introducir malware, sino que probablemente por error sobreescribieron la imagen PNG del paquete sin saberlo. Más detalles en su blog Hot for Security.

Ambas aplicaciones fueron actualizadas en Junio, siendo interesante que Google no las haya marcado como sospechosas al ser escaneadas por Google Play. Google afirmó al comenzar el problema de que realizaría escaneos periódicos para eliminar dichas aplicaciones vulnerables. Ahora cabe preguntarse si Google lleva tiempo sin actualizar la herramienta de detección o si, probablemente sea el caso, la compañía ha marcado estas aplicaciones como inofensivas debido a que solo han modificado la imagen del propio paquete.

Sed fieles a las tiendas oficiales

Como hemos recordado desde que comenzó este problema, es muy importante descargar aplicaciones exclusivamente desde Google Play, puesto que las tiendas de terceros no poseen control externo sobre sus contenidos y podrían contener aplicaciones modificadas empleando el método descrito.