Esta app ha estado disponible en la tienda de aplicaciones Google Play, donde se estima que habría sido descargada entre 10 y 50 millones de veces. Los datos personales de los usuarios recopilados eran posteriormente vendidos con fines comerciales. El código malicioso que lo componía también estaba presente en otras 30 aplicaciones más.
Según han alertado, este falso antivirus tenía como primera misión recopilar toda la información personal que se encontraba en el dispositivo en el que estaba instalada, incluyendo credenciales de identificación, listas de contactos, registros de llamadas y ubicación. Una vez superada esta primera fase, los datos recabados eran codificados y enviados a un servidor remoto.
En tercer lugar, otra aplicación llamada Caller ID & Call Block - DU Caller proporcionaba a los usuarios información sobre llamadas entrantes utilizando estos datos.
La empresa de ciberseguridad informó de las prácticas ilegales de DU a Google el pasado 21 de agosto, quien procedió a eliminar la app tres días después, el 24. Cuatro días después se ha vuelto a subir una nueva versión, la 3.1.35 de DU Antivirus Security, que no incluye el código malicioso.
Check Point también han detectado este mismo código malicioso en otras 30 aplicaciones, 12 de las cuales estaban en la tienda de Google y ya han procedido a eliminarlas. "Estas apps probablemente implementaron el código como una biblioteca externa y transmitieron los datos robados al mismo servidor remoto utilizado por DU Caller" ha afirmado Check Point. En total, el malware afectó a entre 24 y 89 millones de usuarios, según estima Google.
Check Point ha recordado que dado que los antivirus tienen una razón legítima para solicitar permisos inusualmente extensos, "son la coartada perfecta para los ciberdelincuentes".
En algunos casos, este tipo de apps para móviles se utilizan incluso como señuelo para la entrega de malware. Para evitar problemas, recomiendan que utilicen "sólo la protección de proveedores acreditados".
