Una vulnerabilidad presente desde Android 2.1 permite disfrazar aplicaciones malignas

No es una novedad. Android se ha convertido en uno de los sistemas operativos más atacados por los ciberdelincuentes porque cuenta con una gran base de usuarios… o víctimas potenciales.

Se calcula que el 97% del malware de mala creación ataca a la plataforma del androide verde. Y la situación se complica cuando dichos ataques se producen por un fallo en el software oficial en vez de por meras técnicas de spam o de ingeniería social. ¿Por ejemplo? Con Fake ID.

Fake ID es una vulnerabilidad bastante veterana. Está presente desde la versión Android 2.1, que salió a la calle a principios de 2010, pero no ha sido hasta ahora que el equipo de seguridad de Bluebox Labs ha revelado su existencia.

Esta compañía advierte de que afecta a “todos los dispositivos que no han sido parcheados por el bug 13678484 de Google” lanzando en abril de este mismo año.

¿Y qué es lo que hace? Permite que aplicaciones maliciosas usurpen la identidad de otras aplicaciones, en este caso fidedignas. Y, muy especialmente, de apps que gozan de cierto prestigio entre la comunidad de usuarios para intentar sacar más rédito con las descargas.

Las consecuencias son numerosas, como advierten los expertos. “La vulnerabilidad puede ser utilizada por malware para escapar del sandbox normal para aplicaciones y llevar a cabo una o más acciones maliciosas”, señalan, como “insertar un caballo de Troya dentro de una aplicación mediante la suplantación de Adobe Systems; obtener acceso a datos financieros y de pago NFC mediante la suplantación de Google Wallet; o tomar control de la gestión completa de todo el dispositivo mediante la suplantación de 3LM”.

Mientras los fabricantes y operadores de telefonía no aplican las actualizaciones correspondientes, los usuarios de Android deberían ser más cautos que nunca a la hora de bajarse aplicaciones.