Tal vez muchos no lo sepan, pero además de tener acceso a las apps disponibles en Google Play Store, los usuarios de dispositivos Samsung pueden descargar e instalar las aplicaciones en Galaxy Store, el repositorio de apps especialmente diseñadas para smartphones Samsung.
Aunque la compañía tecnológica ha invertido un gran esfuerzo en mantener la integridad de su tienda de aplicaciones, recientemente se descubrió que algunas de estas herramientas habrían sido infiltradas por actores de amenazas, que ahora las usan para la distribución de una peligrosa variante de malware para móviles.
Según el reporte de Android Police, las apps comprometidas incluyen principalmente algunos clones de Showbox, una popular APK de streaming pirata cuyos servidores actualmente están fuera de operación. Estos clones están siendo distribuidos a cientos, o incluso miles de usuarios de equipos Samsung a través de Galaxy Store.
El investigador Max Weinbach comenzó a alertar sobre este problema cuando notó que algunas apps basadas en Showbox disponibles en Galaxy Store activan las advertencias de Google Play Protect al ser descargadas e instaladas. Un análisis detallado de una de estas APKs arrojó diversas alertas de bajo grado en VirusTotal, además de que al tratar de instalarla esta APK solicita permisos demasiado intrusivos.
Posteriores análisis concluyen que esta APK ejecuta código dinámico, así que aunque no contenga una carga útil maliciosa al momento de su instalación, posteriormente podría descargar y ejecutar código arbitrario, lo que incluye malware. Cabe destacar que la ejecución de código dinámico no tiene muchos usos legítimos conocidos, por lo que en la práctica se considera una tarea maliciosa.
Al menos tres de estos clones de Showbox disponibles en Galaxy Store presentan problemas similares, aunque no se descarta la existencia de más APKs potencialmente maliciosas.
Otro rasgo interesante sobre esta campaña es el hecho de que los desarrolladores de estas APKs parecen simplemente explotar la reputación de Showbox, creando clones de la aplicación original para atraer a los usuarios. El subreddit de Showbox, sin actualizaciones desde hace más de dos años, confirma que la aplicación no está en funcionamiento y que otras apps similares no tienen nada que ver con este proyecto.
Sobre la magnitud de esta campaña, los expertos mencionan que Galaxy Store no lleva un conteo de las veces que una app es instalada, por lo que es difícil determinar cuántos usuarios han descargado estos clones de Showbox. No obstante, estas APKs acumulan miles de reseñas y puntuaciones, por lo que no son pocos los usuarios que las han descargado.
Como de costumbre, la mejor forma de prevenir cualquier riesgo de seguridad derivado de una aplicación maliciosa es simplemente no instalar software sospechoso o descargado desde ubicaciones no oficiales, además de mantener sus dispositivos siempre actualizados.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.