A pesar de los esfuerzos de Google, Android sigue teniendo graves problemas de seguridad. Y no siempre tienen que ver con la aparición aleatoria de aplicaciones zombis para lanzar ataques DDoS, sino con aparente facilidad con la que algunos desarrolladores han podido esconder malware durante años. El último ejemplo lo desvela Buzzfeed News, que en colaboración con la firma de análisis Kochava ha descubierto que varias aplicaciones con millones de descargas han estado estafando a anunciantes de forma continuada.
Las aplicaciones en cuestión son obra del estudio chino Cheetah Mobile, acusado anteriormente de prácticas fraudulentas, y Kika Tech, también china pero con oficinas centrales en Silicon Valley. De acuerdo con los hallazgos de Kochava, dichas aplicaciones ejecutan las técnicas conocidas como click flooding y click injection para sustituir códigos de referidos, reclamando como propios ingresos publicitarios potencialmente valorados en millones de dólares.
El mecanismo detrás del fraude es relativamente sencillo. Estas aplicaciones solicitan una cantidad excesiva de permisos, como por ejemplo para leer el texto introducido en un teclado y monitorizar las aplicaciones descargadas. Esto es así para controlar qué aplicaciones son instaladas, puesto que algunas compañías de publicidad y desarrolladores pagan una comisión a terceras partes (sitios webs u otras aplicaciones, por ejemplo) a través de las cuales se descarga una aplicación. Esta comisión puede ir de 50 céntimos a 3 dólares.
Las aplicaciones de Cheetah y Kika monitorizan el proceso de descubrimiento e instalación de dichas apps para sustituir el código utilizado para identificar al socio que debería llevarse la comisión por publicidad y embolsárselo en su lugar.
La escala de la estafa es desconocida. Ambas empresas afirman tener un total combinado de más de 700 millones de usuarios activos y durante el último trimestre Cheetah declaró ingresos por valor de 196 millones de dólares en concepto de productos y servicios.
Clean Master, CM File Manager, CM Launcher 3D, Security Master, Battery Doctor, CM Locker, Cheetah Keyboard y Kika Keyboard son algunas de las aplicaciones señaladas por Kochava. Inicialmente Cheetah declaró que el origen de este comportamiento podría estar en el SDK utilizado por "plataformas de publicidad" ajenas a la empresa, pero lo cierto es que el SDK es propiedad de la propia Cheetah y no de terceros. Más tarde la compañía declaró que el SDK no tenía nada que ver con este comportamiento.
Buzzfeed News se puso en contacto con Google, proporcionando vídeos y capturas de código identificado como problema ‘tico por Method Media Intelligence, una empresa de marketing para desarrolladores. Según Google, la situación está siendo investigada. Sea como sea, la mayoría de las aplicaciones señaladas por los investigadores siguen estando disponibles con total normalidad en Google Play.
