El malware estaba alojado en otros populares juegos, también falsificados, dentro de la tienda de aplicaciones. La amenaza actuaba de manera tardía para complicar su detección.
Plants vs Zombies, Candy Crush o Super Hero Adventure son solo algunos de los títulos que piratas emplearon para distribuir malware, aseguró la empresa de seguridad informática ESET.
El malware se subió a Google Play entre el 24 y el 30 de noviembre de 2013, y el 22 de noviembre de 2014. Eventualmente, se eliminaron los troyanos de la tienda, pero pasó casi un año y medio sin que fueran detectados, dijo ESET.
«Tal vez debido a este y otros casos similares, Google anunció que, a partir de marzo de 2015, todas las aplicaciones y actualizaciones deben pasar por una revisión humana», remarcó la empresa.
Los usuarios de Android en la India son actualmente los más afectados, con el 73,58% de detecciones observadas.
Este troyano fue capaz de colarse en Google Play y varios mercados alternativos de Android mediante los siguientes juegos: Plants vs Zombies, Plants vs Zombies 2, Metro suffers,Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush yRacing Rivals, entre otros.
Cómo funcionaba
ESET detectó que al instalarse los juegos además se colaba una aplicación que, a pesar de parecer un juego normal, contiene un elemento adicional con características poco usuales ya que está empaquetada en otra aplicación llamada systemdata o resourcea.
La aplicación empaquetada se colocaba inadvertidamente en el dispositivo y para activarse necesita pedirle autorización al usuario. Por ello solicitaba permiso para instalación, simulando ser la aplicación Manage Settings (Administrar configuración) o una actualización de Google Play. Luego de su instalación, se ejecutaba como un servicio en segundo plano.
ESET detectó los juegos que instalan este troyano como Android/TrojanDropper.Mapin y al troyano en sí como Android/Mapin.
El malware es capaz de tomar el control de los dispositivos de los usuarios y hacerlos parte de una botnet (red de computadoras zombies) bajo el control del atacante.
Por otra parte, Android/Mapin tiene una adición que hace que la detección sea más complicada.Trabaja con un temporizador que retrasa la ejecución del componente malicioso para que las víctimas no sospechen que es el juego lo que infecta el dispositivo.
«Algunas variantes de Android/Mapin toman un mínimo de tres días en lograr la plena funcionalidad del troyano. Esta puede ser una de las razones por las que TrojanDownloader era capaz de evadir el sistema de prevención de malware de Google «, dijo Lukáš Stefanko, Malware Researcher en ESET.
Las mejores prácticas para evitar la descarga de malware desde la tienda oficial de Google consisten en descargar aplicaciones provenientes de desarrolladores de confianza y leer los comentarios de personas que ya las estén usando. También hay que considerar si los permisos que solicita una aplicación para su instalación están justificados.