Hace unos días, descargué la aplicación de PayPal para Android y me surgió una duda que aún no logro resolver: ¿puedo ingresar los datos de mi cuenta con total tranquilidad? Pues según una investigación que acaba de publicarse, la respuesta a dicha pregunta parece ser negativa.

Durante la conferencia DefCon que se está llevando a cabo en Las Vegas, Sean Schulte y Nicholas Percoco de la firma Trustwave, explicaron que los desarrolladores pueden crear aplicaciones que lancen pantallas falsas de inicio de sesión, con el objetivo de robar credenciales de los usuarios. Para colmo, ciertas características facilitarían estos ataques de phishing.

Si bien las apps que funcionan en segundo plano suelen enviar mensajes de notificación a través de la barra superior, el sistema también admite la posibilidad de que las mismas pasen a estar en primer plano. Esto, que resulta práctico para enviar una imagen de la galería a una red social, también permite que una aplicación maliciosa reemplace la herramienta que ofrece nuestro banco para realizar transacciones desde el móvil.

Para demostrar esto, los investigadores presentaron una prueba de concepto, que consistió en un juego. Aunque por la instalación parecía ser un producto totalmente legítimo, su función real era mostrar pantallas de login para Amazon, Facebook, Gmail y Google Voice, notándose apenas un movimiento en la pantalla que duraba menos de un segundo. Además, logró registrarse como un servicio, para iniciarse tras cada encendido del dispositivo.

Aparte de este comportamiento, existe la posibilidad de modificar las acciones del botón de retroceso, programándolo a gusto. De esta manera, con un pequeño cambio, el usuario no podría salir de la app maliciosa o descubrir que realmente ocurre algo extraño con su teléfono. En casos menos dañinos, esto abre la puerta a pop-ups con publicidades, los cuales pueden programarse para que salgan al iniciar aplicaciones de competidores.

En estos momentos, Google está al tanto del problema y evaluando una posible solución, porque proviene de una función legítima para comprobar el estado del móvil. Asímismo, desde la compañía prometieron quitar cualquier elemento del Android Market que posea estos comportamientos, aunque claro, esto depende de que alguien los identifique.

Los investigadores, por su parte, contestaron que el inconveniente principal es permitir a cualquier aplicación saber cuál se encuentra en primer plano y reemplazarla sin una autorización explícita. Pero además dijeron que, como es difícil distinguir estos desarrollos malignos, la espera hasta recibir reportes de los usuarios «es peligrosa y puede ser un esfuerzo sin frutos, porque los atacantes podrían publicar apps más rápido de lo que Google podría identificarlas y eliminarlas del Market». Sin dudas, es una cuestión importante a tener en cuenta, en especial a raíz de la gran popularidad de la plataforma, algo que siempre suele atraer a los hackers.