Investigadores de seguridad han detectado que en la actualización del 4 de diciembre de 2020, la aplicación Barcode Scanner pasó de lo que debía ser un lector de códigos de barra y códigos QR, a través de la cámara del dispositivo y un generador de códigos de barras, una herramienta útil para dispositivos móviles, a un malware completo que contenía código ofuscado malicioso.
En Google Play, la aplicación ha sido descargada más de 10 millones de veces.
¿Cómo sucedió?
Los usuarios afectados, tras varios minutos de instalar la actualización, comenzaron a experimentar comportamientos extraños en sus dispositivos, obteniendo anuncios de forma agresiva a través del navegador instalado por defecto.
Lo más extraño de la epidemia de publicación de anuncios es que ninguno de ellos había instalado aplicaciones recientemente. Sin embargo, todas las aplicaciones que habían instalado desde entonces procedían directamente de Google Play.
Los anuncios emergentes continuaron hasta que una de las víctimas del malware descubrió que los anuncios provenían de una aplicación instalada desde hace mucho tiempo: Barcode Scanner.
Muchos usuarios han utilizado la aplicación en sus dispositivos móviles durante mucho tiempo.
Aunque Google ya eliminó esta aplicación de Google Play, no significa que la aplicación desaparecerá de los dispositivos afectados. Este es exactamente el problema experimentado por los usuarios que instalaron Barcode Scanner.
Causas del problema
La mayoría de las aplicaciones gratuitas en Google Play incluyen algún tipo de publicidad en la aplicación. Para ello, incluyen un SDK de anuncios en el código de la aplicación, por lo general, al final del desarrollo de la aplicación. Las versiones de pago simplemente no incluyen este SDK.
Los SDK de anuncios pueden provenir de varias empresas de terceros y proporcionar una fuente de ingresos para el desarrollador de la aplicación, que genera ganancias en todos. Los usuarios obtienen una aplicación gratuita, mientras que los desarrolladores de aplicaciones y SDK de anuncios reciben un pago.
Pero de vez en cuando, una empresa de SDK de anuncios puede cambiar algo por su parte y los anuncios pueden comenzar a volverse un poco agresivos. A veces, incluso descienden las aplicaciones que lo usan en la categoría de Adware. Cuando esto sucede, no es responsabilidad de los desarrolladores de la aplicación, sino de la empresa SDK.
Pero en el caso de Barcode Scanner, se agregó un código malicioso que no estaba en versiones anteriores de la aplicación. Además, el código agregado utilizó una gran ofuscación para evitar la detección. Para verificar que esto es del mismo desarrollador de la aplicación, se confirmó que había sido firmado por el mismo certificado digital que las versiones limpias anteriores. Debido a su intención maliciosa se categorizó la detección original de Adware directamente a Trojan, se lo denominó como Android/ Trojan.HiddenAds.AdQR.
Recomendaciones
- Desinstale la aplicación Barcode Scanner de su dispositivo lo más pronto posible. Para ello:
- Ingrese en el apartado ajustes en su Android y busque la opción “Aplicaciones”, busque entre las aplicaciones instaladas la aplicación Barcode-scanner y pulse sobre opciones de la aplicación y seleccione en “Desinstalar”.
Referencias
- https://blog.malwarebytes.com/android/2021/02/barcode-scanner-app-on-google-play-infects-10-million-users-with-one-update/
- https://blog.desdelinux.net/la-popular-aplicacion-de-playstore-barcode-scanner-infecto-a-10-millones-de-usuarios/
- https://www.zdnet.com/article/with-one-update-this-malicious-android-app-hijacked-10-million-devices/
- https://unaaldia.hispasec.com/2021/02/la-aplicacion-barcode-scanner-es-eliminada-de-google-play-por-contener-codigo-malicioso.html