Tekya, un adclicker oculto en 56 aplicaciones de Google Play Store

La seguridad de Google Play Store se ha visto de nuevo comprometida. En esta ocasión, investigadores de Check Point Software Technologies han identificado una nueva familia de malware conocida como Tekya, que se encontraba disponible en 56 aplicaciones y que ha sido descargado en torno a un millón de veces en todo el mundo. Cabe destacar que 24 de las aplicaciones estaban dirigidas al público infantil, mientras que el resto eran aplicaciones de uso general.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

"Para nosotros, el gran número de descargas que el cibercriminal consiguió infiltrar con éxito en Google Play es sorprendente", señala Eusebio Nieva, director técnico de Check Point para España y Portugal. "Al combinar esto con una metodología de infección relativamente simple, se puede deducir que Google Play Store todavía puede albergar apps maliciosas".

Tekya es un adclicker, una ciberamenaza al alza en la industria móvil que simula el comportamiento del usuario pulsando sobre los banners y anuncios de agencias con el objetivo de generar beneficios financieros fraudulentos. Asimismo, los cibercriminales detrás de esta campaña clonaron aplicaciones reales de Google Play Store con el objetivo de incrementar la audiencia, sobre todo entre niños, ya que la mayoría de las portadas de aplicaciones son juegos infantiles.

La investigación llevada a cabo por Check Point revela que Tekya había sido capaz de eludir las medidas de seguridad de VirusTotal y Google Play Protect, un sistema desarrollado por Google para garantizar la seguridad del sistema operativo Android. En este sentido, esta variante de malware se camuflaba como parte del código nativo de las aplicaciones y empleaba el mecanismo 'MotionEvent' en Android para imitar las acciones del usuario y generar clics.

Por otra parte, cuando un usuario descargaba alguna de las aplicaciones infectadas en el dispositivo, automáticamente se registraba un receptor ('us.pyumo.TekyaReceiver') que permitía llevar a cabo distintas acciones como “BOOT_COMPLETED” (permite que el código se ejecute al iniciar el dispositivo, lo que se conoce como “inicio frío”), “USER_PRESENT” (para detectar cuando el usuario está utilizando de forma activa el dispositivo) y “QUICKBOOT_POWERON” (para permitir que el código malicioso se ejecute después de reiniciar el dispositivo.

A pesar de que Check Point reveló estos hallazgos a Google y que la amenaza ya ha sido erradicada, esta situación pone de relieve una vez más que los mercados de aplicaciones en general, y Google Play en particular, son vulnerables y susceptibles de ser hackeados. En este sentido, los expertos de la compañía señalan que los usuarios no pueden confiar únicamente en las medidas de seguridad de Google Play para garantizar la protección de sus dispositivos, por lo que aconsejan eliminar cualquier tipo de aplicación sospechosa e instalar las últimas actualizaciones del sistema operativo y demás programas para garantizar la seguridad de dispositivo. Asimismo, destacan la importancia de contar con herramientas tecnológicas de calidad para hacer frente a estos ciberriesgos, como SandBlast Mobile.