Google ha eliminado una amplia selección de aplicaciones para Android de la Play Store, tras detectarse que incluían un spyware que robaba información sensible. Según recoge The Wall Street Journal, la recopilación de datos correría por cuenta de una firma que supuestamente cumpliría labores de ciberinteligencia para Estados Unidos.
La presencia del software espía fue detectada por la compañía AppCensus, que publicó un muy detallado informe en su blog. El mismo explica cómo varias apps —a simple vista inofensivas y con millones de descargas— incluyen un SDK (coelib.c.couluslibrary) que reúne un muy amplio abanico de datos de los dispositivos en los que son instaladas, y los transmite a los servidores de una empresa registrada en Panamá bajo el nombre Measurement Systems.
Después de una ardua búsqueda, los investigadores detectaron que el dominio del sitio web de dicha compañía se registró a nombre de VOSTROM Holdings; una firma con base en Virginia, Estados Unidos, que también tiene otros cuantos registros en su haber. Según WSJ, dicha compañía sería contratista de defensa y realizaría labores de ciberinteligencia, intercepción de datos y defensa de redes para agencias de seguridad norteamericanas. Incluso se menciona que la interacción con las autoridades no se realizaría de modo directo, sino mediante una subsidiaria llamada Packet Forensics.
Google elimina aplicaciones que recolectaban datos a granel
Un punto que ha llamado la atención de los investigadores es que el código que se encargaba de recopilar la información a espaldas de los usuarios no funcionaba de la misma forma en todas las apps que lo incluían, incluso aunque utilizaran la misma versión del SDK.
Así, por ejemplo, se detectó que una app que permitía utilizar el smartphone como el ratón de un ordenador recopilaba y transmitía la dirección MAC del router al cual el dispositivo estaba conectado. Esta utilidad tenía más de 10 millones de descargas en todo el mundo.
Otra de las aplicaciones denunciadas a Google por contener el spyware fue un widget de información del clima con más de 1 millón de descargas. AppCensus detectó que podía "capturar" todo lo que se copiaba en el portapapeles y lo enviaba a los servidores de Measurement Systems. Así, si los usuarios copiaban una contraseña o cualquier otro dato sensible, iban a parar a manos ajenas.
Y también se han encontrado con casos más extremos, como el de un lector de códigos de barras y QR con más de 5 millones de descargas desde la tienda de Google. Dicha app podía recopilar números telefónicos, direcciones de correo electrónico, la ubicación precisa del dispositivo vía GPS, el IMEI del móvil, el nombre público (SSID) de las redes WiFi y la dirección MAC de los routers a los que se conectaba.
Lógicamente, estamos haciendo mención a solo algunos de los casos hallados por los especialistas. De hecho, AppCensus publicó el listado con las demás apps en las que detectaron el SDK de Measurement Systems y su alcance es muy variado; desde aplicaciones que alertan sobre la presencia de radares de velocidad en las carreteras, hasta plataformas de mensajería, herramientas de audio y guías para rezar.
Si bien esta información se conoció públicamente en las últimas horas, los hallazgos no son nuevos. Los investigadores informaron a Google sobre la presencia de este spyware en octubre de 2021; desde entonces, los de Mountain View han eliminado estas aplicaciones y otras en las que también detectaron la presencia del código malicioso.
No obstante, el bloqueo podría no tener un impacto global. Al momento de redactar este artículo hemos seguido algunos de los enlaces a la Play Store incluidos en el informe original y las aplicaciones siguen apareciendo disponibles para instalar (al menos desde Argentina).
¿Cómo llegó el spyware a las apps?
Según lo encontrado por AppCensus, Measurement Systems llevó su SDK malicioso a una gran cantidad de apps mediante un programa de monetización. A través de su sitio web ofrecían pagar a los desarrolladores "el CPM [costo por mil impresiones] más alto por sus datos", y mencionaban que lo harían sin utilizar anuncios por tratarse de "una estrategia de monetización alternativa".
"Al firmar contratos exclusivos con empresas de telecomunicaciones, comercializadores e institutos de investigación, brindamos a nuestros desarrolladores de aplicaciones los pagos más altos", aún se puede leer en su sitio web. Y según le manifestó un desarrollador a The Wall Street Journal, el objetivo primario de la compañía panameña era conseguir información de usuarios en países de Medio Oriente, Asia, y Europa Central y del Este.
Por otra parte, los expertos en ciberseguridad accedieron al tutorial que explicaba a los desarrolladores cómo incluir el spyware en sus aplicaciones. Así, se estima que el código ha llegado a no menos de 60 millones de dispositivos. Y por más que Google haya eliminado las apps de la Play Store (aunque sea regionalmente), seguro siguen instaladas en millones de móviles; eso continuará siendo un problema, hasta que se constate que futuras versiones de las mismas ya no incluirán el software espía.
Measurement Systems se despega de las acusaciones
Measurement Systems ha negado su involucramiento en las actividades de espionaje denunciadas por los expertos en ciberseguridad de AppCensus. De hecho, la compañía envió un comunicado a The Wall Street Journal en el que incluso negó su relación con VOSTROM Holdings y Packet Forensics.
"Las acusaciones que hacen sobre las actividades de la empresa son falsas. Además, no tenemos conocimiento de ninguna conexión entre nuestra firma y los contratistas de Defensa de Estados Unidos, ni tenemos conocimiento de una compañía llamada Vostrom. Tampoco tenemos claro qué es Packet Forensics o cómo se relaciona con nuestra empresa", aseguraron.
De todos modos, la información revelada ha tenido su impacto. Los especialistas encontraron que las apps dejaron de recolectar y transmitir información tras notificar su descubrimiento a Google. Y como para que el manto de sospecha sea aún mayor, los registros DNS de la dirección que se utilizaba para transmitir los datos recopilados al servidor de Measurement Systems han sido actualizados para apuntar al valor no enrutable 127.0.0.1; en tanto que los datos públicos de WHOIS para la web de la compañía panameña también se modificaron y ya no mencionan a VOSTROM Holdings.