LightsOut: Campaña de publicidad maliciosa en Google Play
El equipo de investigación de Check Point Software Technologies, el mayor proveedor mundial especializado en ciberseguridad, ha detectado un nuevo tipo de adware alojado en Google Play, la tienda oficial de aplicaciones.
El script sospechoso, que se instala tras descargar algunas de estas aplicaciones, anula la decisión del usuario de desactivar los anuncios que se muestran fuera de un contexto legítimo. Además, en muchas de las aplicaciones, oculta su icono para impedir su eliminación. Se trata de una actividad puramente maliciosa, ya que no tiene otro propósito posible que eludir al usuario.
Llamado LightsOut, el malware se escondió en 22 aplicaciones de linternas y otras herramientas, y alcanzó de entre 1,5 millones y 7,5 millones de descargas. La intención de esta amenaza era generar ingresos publicitarios ilegales a expensas de sus incautas víctimas.
Algunos usuarios notaron que no podían realizar llamadas sin antes hacer clic en un anuncio o realizar otras actividades con su dispositivo. De hecho, uno de ellos destacaba que, tras comprar la versión premium de la app, seguía apareciendo publicidad maliciosa.
Check Point ha notificado a Google sobre todas las aplicaciones que contienen este malware y las ha eliminado de forma inmediata de la tienda de Google Play. La compañía de ciberseguridad recomienda a todas las personas que hayan descargado algunas de estas apps que las borren lo antes posible.
LightsOut incrusta el archivo malicioso Solid SDK dentro de las aplicaciones de utilidades y linternas aparentemente legítimas. Este script tiene dos capacidades maliciosas, las cuales están integradas en la mayoría de las muestras encontradas, y son activadas por el servidor de Comando y Control. La primera oculta su icono cuando la aplicación se pone en funcionamiento por primera vez, lo que dificulta mucho la eliminación por parte del usuario.
Posteriormente, la aplicación maliciosa ofrece al usuario una casilla de verificación, así como un panel de control, en el que puede habilitar o deshabilitar servicios adicionales como la visualización de anuncios. A pesar de ello, la publicidad se activa cuando la víctima se conecta a una red WiFi, cuelga una llamada, conecta un cargador o bloquea la pantalla del teléfono.
En concreto, si el dueño del teléfono elige deshabilitar estas funciones, LightsOut puede anular la decisión y continuar mostrando la publicidad invasiva. Dado que los anuncios no están directamente relacionados con la actividad de LightsOut, es poco probable que el usuario entienda esta relación y, aunque lo haga, no podrá encontrar el icono de la aplicación y eliminarlo de su dispositivo.