Aplicaciones robadas publicadas en el Market se apoderan del celular, roban información y abren puertas traseras.

Transparencia, la característica propia de Android que hace que nos encante, es una espada de doble filo. Lompolo del blog Reddit ha tropezado con un ejemplo perfecto de ese hecho, se ha dado cuenta de que un editor ha tomado “… 21 aplicaciones gratuitas populares del mercado, les inyectó [a cada una] un root exploit y las volvió a publicar.” ¿La parte que realmente da miedo? “en conjunto se descargaron de 50.000 a 200.000 veces durante 4 días.”

Lompolo explica muy bien la situación:

El enlace a las aplicaciones de este editor está aquí. Solo me tropecé por casualidad con una de las aplicaciones, la reconocí y me di cuenta que el editor no era quien se suponía que fuera.
Super Guitar Solo por ejemplo es originalmente Guitar Solo Lite. Descargué las dos aplicaciones y extraje los APK’s, ambos contenían lo que parece ser el root exploit “rageagainstthecage” – el código binario contiene la cadena “CVE-2010-EASY Android local root exploit (C) 2010 by 743C“. No se lo que hace en realidad la aplicación, pero no puede ser bueno.
Aprecio la capacidad para publicar una actualización de una aplicación y que la actualización esté disponible al instante, pero esto da un poco de miedo. Sería bueno algún tipo de moderación, o al menos una reacción más rápida por las quejas sobre malware.
EDICIÓN: Después de revisar un poco, parece ser que la aplicación publica los códigos de IMEI e IMSI en http://184.105.245.17:8080/GMServer/GMServlet, que parece estar ubicado en Fremont, California.

Le pedí a nuestro hacker interno que echara un vistazo al código, y verificó que se consigue acceso root del dispositivo del usuario mediante el exploid y rageagainstthecage. Pero esa es solo la punta del iceberg: hace más que solo sacar el IMEI e IMSI. Hay otro APK oculto dentro del código, y este roba prácticamente todo: el ID del producto, modelo, proveedor, idioma, país y el ID de usuario. Pero eso solo es juego de niños; la verdadera pieza de la resistencia es que tiene la capacidad de descargar más código. En otras palabras, no hay forma de saber lo que hace la aplicación después que fue instalada, y las posibilidades son infinitas.

Justin notificó a un contacto que tiene en Google sobre este tema. Durante el tiempo en que comprobabamos lo explicado en esta nota, ellos también verificaron y planean sacarlas del Market [Actualización: Cielos, ¡ya las sacaron! ¡Les tomó menos de 5 minutos desde el primer contacto para que las sacaran!], y también eliminarlas remotamente de los dispositivos de los usuarios. Desafortunadamente, eso no quita ningún código que ya hubiera entrado por la puerta trasera.

Esperemos que sean rápidos para reaccionar – este es el máximo troyano Android hasta la fecha, y ya se descargó más de 50.000 veces. Sea libre de discutir el tema en los Droid Forums, o mediante los comentarios más abajo.
Actualización: El editor fue eliminado por completo del Market, de modo que ya no podrá ve su lista de aplicaciones. Afortunadamente, me las arreglé para sacar unas capturas de pantalla anoche. Hubo toneladas de respuestas a esto, y hemos sido contactado por algunos perros grandes. Justin está trabajando en una herramienta de eliminación. Seguiré actualizado este post por la noche.