Se sabe que descargarse una aplicación a través del Google Play Store no es del todo seguro, sobre todo de fabricantes poco conocidos, e independientemente de que haya pasado los controles de seguridad de Google, puede acabar habiendo problemas a posteriori.

Y ahora el equipo de seguridad de Google Cloud ha reconocido una táctica común a la que se conoce como “control de versiones” y que es utilizada por los ciberdelincuentes para introducir malware en dispositivos Android.

Básicamente, introducen este malware en los dispositivos después de pasar el proceso de revisión y control de seguridad de Google Play Store.

El funcionamiento es sencillo, esta técnica introduce el malware a través de actualizaciones de aplicaciones que ya han pasado el control y que están instaladas en el dispositivo de los usuarios, y se hacen lanzando este tipo de actualizaciones desde servidores bajo el control de los actores de amenazas.

A esta técnica se le conoce como “carga dinámica de código” y permite a los ciberdelincuentes implementar el malware eludiendo las comprobaciones de análisis estático de la tienda de aplicaciones.

“El control de versiones ocurre cuando un desarrollador lanza una versión inicial de una aplicación en Google Play Store que parece legítima y pasa nuestros controles, pero luego recibe una actualización de un servidor externo que cambia el código en el dispositivo del usuario final que permite la actividad maliciosa”, explican.

Las aplicaciones encontradas y que utilizan esta técnica infringen la política de comportamiento de Google, dado que las aplicaciones distribuidas a través de la Play Store tienen prohibido modificarse o actualizarse por cualquier otro medio que no sea a través del mecanismo oficial, provisto por la tienda oficial.

No obstante, Google ha puesto como ejemplo el malware conocido como SharkBot que para evitar la detección por parte de los sistemas a Play Store, adopta una estrategia común de lanzar versiones con funcionalidad limitada en la Google Play, pero una vez que el usuario se la descarga, la aplicación baja la versión completa del malware para infectar al dispositivo.