Mobile Novedades

Otro troyano para Android

Un día más, otro susto más con una aplicación Android. Esta vez, la aplicación en cuestión no es un troyano ruso que vacía cuentas bancarias, sino un clon de aspecto inocente del juego “Snake” llamado “Tap Snake”. Sin embargo, Tap Snake no es sólo un juego. En realidad es un software cliente de una aplicación de espionaje comercial llamada GPS Spy.

En combinación con Tap Snake, GPS Spy puede hacer el seguimiento de la ubicación física del teléfono móvil con el juego instalado.

No se trata de una amenaza grave

Por muy terrible que suene (¡spyware móvil!), el peligro no es para tanto, según afirman investigadores en seguridad.

Si buscábamos un juego “de serpientes” y hemos terminado con “Tap Snake”, los permisos que nos solicita al instalarlo deberían servirnos de aviso. ¿Acceder a la ubicación? ¿Acceder a Internet? ¿Para qué iba a necesitar eso un juego? ¿Por qué parpadea el icono del satélite (GPS) cuando jugamos al juego? Etc., etc.

Todo esto deberían ser señales claras para un usuario de smartphones con experiencia de que el juego en cuestión podría estar haciendo entre bastidores algo más de lo que debería.

Cómo funciona Tap Snake/GPS Spy

Sin embargo, las víctimas de este juego probablemente no sean los usuarios experimentados, sólo los corrientes.

Tras permitir a otra persona acceder a su teléfono, ya sea a sabiendas o no, la víctima habría descubierto que se ha instalado un juego nuevo en el dispositivo. De lo que no se daría cuenta es de que el sencillo juego de serpientes tiene dos funciones ocultas.

“Primero”, explica la empresa de seguridad F-Secure mediante una entrada en su blog, “el juego no se cerrará. Una vez instalado, se ejecuta de fondo para siempre, y se reinicia automáticamente cuando reiniciamos el teléfono. En segundo lugar, cada 15 minutos, el juego informa secretamente a un servidor de la ubicación GPS del teléfono.”

Para que se produzca el espionaje en sí, no obstante, el perpetrador tendría que comprar GPS Spy, una aplicación espía para móviles de 4,99 euros registrada con el mismo código en clave o la misma dirección de correo que Tap Snake. Debido a este requisito, primero tendría que acceder físicamente al dispositivo que quiere vigilar.

Los datos GPS que se transmiten entre ambas aplicaciones se almacenan en el servicio App Engine gratuito de Google, según afirma Symantec, la empresa de seguridad que identificó el código malicioso en un principio como AndroidOS.Tapsnake el lunes. GPS Spy a continuación puede descargar los datos y mostrarlos en Google Maps para hacer un seguimiento fácilmente. Cada punto de datos registrado incluye un mapa y un sello temporal, junto con coordenadas de latitud y longitud.

Symantec afirma que ha decidido clasificar esta aplicación como troyano, ya que no deja ver su propósito principal de entrada, sino que lo enmascara como un juego inocente. Aún así, reconoce que usarlo para espiar probablemente requeriría “algo de ingeniería social también, algo como ‘Ey, deja que te enseñe este juego tan chulo’”.

¿Los usuarios de Android deben estar atentos? ¿Es la seguridad responsabilidad del usuario?

Las empresas de seguridad están advirtiendo del peligro, pero también señalan que no es muy grave y que es poco probable que se extienda demasiado. Según advierte la fuente de noticias de la industria GoMo News, los usuarios de Android sólo “tienen que prestar atención” a los permisos que solicitan las aplicaciones.

Ese fue el mismo consejo que dio Google cuando los teléfonos Android sufrieron el ataque de un troyano la última vez. “Los usuarios deben aprobar explícitamente este acceso para poder continuar con la instalación”, explicaba un portavoz de Google. “Aconsejamos siempre a los usuarios que sólo instalen aplicaciones de confianza. En particular, los usuarios deberían tener cuidado al instalar aplicaciones ajenas al Android Market.”

El problema con este modelo de seguridad, como bien saben los usuarios de Windows, es que cuando dejamos la seguridad en manos del usuario final, se producen problemas. Microsoft finalmente resolvió algunos de estos problemas con la incorporación del “Control de cuentas de usuario” en Windows Vista y Server 2008. Ahora es una función estándar en sistemas operativos Windows. El “CCU”, como se le conoce, es la irritante pero protectora caja emergente que aparece para advertir a los usuarios finales de que los programas están solicitando un acceso más amplio.

¿Es momento de que Google implante también su propia versión de un sistema de alertas de seguridad? “¡Advertencia! ¡Este juego quiere usar tu GPS! ¡Es una petición inusual para juegos como éste! ¡Procede con precaución!”

¿O acaso los usuarios de Android simplemente aceptarían sin pensar estas advertencias, como hacen actualmente en la mayoría de las aplicaciones?

Original: Sarah Perez

Traducción: Marco Fernández

Sobre el autor de este artículo

Editorial RWWES