Advertencia: 18.000 apps Android contienen código que espía en sus mensajes de texto

Un gran número de aplicaciones de Android de terceros han sido descubiertas  y reportadas haciendo copias de todos los mensajes de texto recibidos o enviados a los dispositivos infectados y enviándolos al servidor de los atacantes.
Más de 63.000 aplicaciones de Android utilizan Taomike SDK – una de las mayores soluciones de publicidad móvil en China – para ayudar a los desarrolladores a mostrar anuncios en sus aplicaciones móviles y generar ingresos.
Sin embargo, alrededor de 18.000 de estas aplicaciones Android contienen un código malicioso que espían a los mensajes de texto de los usuarios, según los investigadores de Palo Alto Networks, quienes hicieron el descubrimiento.

Taomike proporciona un kit de herramientas de desarrollo de software (SDK) y los servicios que utilizan los desarrolladores de aplicaciones Android  los que pueden:

• Mostrar los anuncios a los usuarios
• Ofertar compras en las app (IAP: in-app purchase)

Aplicaciones Android Robo de mensajes SMS

Centrándonos en la distribución de la aplicación y las técnicas para la construcción de los ingresos, «No todas las aplicaciones utilizan la biblioteca Taomike para robar mensajes SMS», según indicaron los investigadores de seguridad.
Los investigadores de seguridad dieron los siguientes detalles:

• Las muestras que contienen la URL embebida, hxxp: //112.126.69.51/2c.php realiza tales funciones.
• El software envía mensajes SMS, así como la dirección IP que pertenece al servidor de API Taomike utilizado por otros servicios Taomike a la dirección referida.
• Más de 63.000 aplicaciones de Android en Wildfire incluyen la biblioteca Taomike, pero alrededor de 18.000 aplicaciones de Android incluyen la funcionalidad del robo de  SMS desde el 1 de agosto de 2015.
• Algunas de las aplicaciones infectadas incluso contienen o muestran contenido para adultos.

«Wildfire» es un servicio de Palo Alto Networks basado en la nube  que se integra con el Palo Alto Firewall y proporciona detección y prevención de malware.

Aún no está claro cómo Taomike está usando los mensajes SMS robados; sin embargo, ninguna biblioteca debe copiar todos los mensajes y enviarlos a un sistema fuera del dispositivo.
En la versión Android 4.4 (KitKat), Google comenzó el bloqueo de aplicaciones de captura de mensajes SMS, a menos que se definan como el «default» de la aplicación SMS.

¿Cómo funciona el ataque de espionaje?

La biblioteca Taomike, apodado ‘zdtpay’, es un componente del sistema IAP de Taomike.
Esta biblioteca requiere tanto permisos relacionados con los SMS y  con la red mientras descarga una aplicación. La biblioteca también registra un nombre del receptor com.zdtpay.Rf2b  para ambas acciones SMS_RECEIVED y BOOT_COMPLETED.

El receptor Rf2b lee los mensajes tan pronto como lleguen al teléfono y luego recoge tanto el cuerpo del mensaje, así como el remitente.
Además, si el dispositivo se reinicia, el servicio MySd2e inicia el registro de un receptor para el Rf2b.
La información de mensaje SMS recogida por el receptor se almacena en un HashMap con «otro» como la clave y luego envía a un método que carga el mensaje a la dirección 112.126.69.51.

Los investigadores afirman que la biblioteca está actuando a ciegas y carga todos los mensajes SMS recibidos por el teléfono infectado, y no sólo a aquellos que son relevantes para la plataforma de Taomike.
Los usuarios que no están en riesgo debido a esto robo de la SMS son:

• Los usuarios de otros países fuera de China.
• Los usuarios que descargan aplicaciones sólo desde el sitio oficial de Google Play Store.

Como esta amenaza se descubre con la presente actualización de la biblioteca, los investigadores dijeron que este comportamiento de subir SMS no está presente en las versiones anteriores de los SDK.

Mayor detalle puede encontrar en el siguiente enlace.