De acuerdo con el informe de los expertos, se trata de aplicaciones benignas que integran un kit de desarrollo de software (SDK) de publicidad llamado Igexin. Esta herramienta tiene la capacidad de insertar código en las apps de manera clandestina para que se produzca la descarga de plugins maliciosos a través de los que espiar a las víctimas.
Los ciberdelincuentes están siempre intentando encontrar métodos innovadores para ocultar su malware ante los cada vez más estrictos controles de seguridad. Una de estas estrategias consiste en utilizar un software legítimo y de confianza para esconder el código malicioso, que es precisamente en la que se ha basado Igexin.
Habitualmente, las aplicaciones para móviles utilizan SDKs publicitarios para facilitar a los desarrolladores la tarea de aprovechar las redes publicitarias y ofrecer anuncios a los clientes. El servicio de Igexin, al igual que muchos otros de semejantes características, aprovecha los datos recopilados sobre las personas como sus intereses, ocupación, ingresos y ubicación para mostrar a los usuarios anuncios contextualizados.
El problema es que la SDK maliciosa descarga plugins que permiten espiar a las víctimas, registrando las horas de llamada, así como el número y el estado. Una vez recopilados, los datos se envían periódicamente a un servidor externo.
Las aplicaciones infectadas con malware en Google Play que han sido detectadas por Lookout pertenecen a las siguientes categorías:
- Juegos para adolescentes, uno de ellos con entre 50 - 100 millones de descargas.
- Aplicaciones meteorológicas, una con entre 500.000 - 1 millón de descargas.
- Radio por internet con entre 500.000 - 1 millón de descargas.
- Editores de fotos con entre 1 y 5 millones de descargas.
- Otras categorías son educación, salud y fitness, viajes, emojis y aplicaciones de cámara de videovigilancia casera.
Después de que la firma de seguridad alertara a Google, la compañía ha eliminado de la Play Store todas las apps comprometidas, o ya han sido actualizadas con versiones nuevas y limpias.