145 aplicaciones de la Play Store fueron eliminadas por Google luego de ser reportadas por expertos de seguridad de Palo Alto Networks. Estos encontraron que las apps estaban infectadas con malware para Windows.
Por supuesto hay que destacar que las apps infectada son completamente inofensivas para los usuarios de Android, pues contienen archivos binarios que solo pueden ejecutarse en Windows. Lo interesante aquí es cómo fueron a parar ahí en primer lugar.
Como explican los investigadores, el hecho de que las APK estuviesen infectadas indica que los desarrolladores de las aplicaciones están creando su software en equipos con Windows comprometidos.
Básicamente, si el desarrollador de una app es infectado por malware en Windows, la infección puede esparcirse a los archivos de la app y colarse en la Play Store una vez que este la sube a la tienda o la actualiza.
Un supply chain attack es básicamente un tipo de amenaza que busca atacar los elementos menos seguros en la cadena de distribución del software. Es una forma efectiva de llevar a cabo ataques a gran escala, y usar a los desarrolladores de software como objetivo es bastante efectivo para ello.
Un buen ejemplo de esto fue cómo el malware XcodeGhost que modificaba el IDE Xcode para infectar aplicaciones para iOS, acabó incluso en apps muy conocidas y usadas como WeChat.
En el caso de estas aplicaciones para Android, aunque los archivos maliciosos no pueden ejecutarse en los dispositivos Android que los alojen, si el APK es desempacado en una máquina con Windows y los archivos son ejecutados por accidente, o incluso si los desarrolladores también crean software diseñado para Windows, la situación puede hacerse peor.
Aunque Google ya eliminó las apps, estás pasaron más de 6 meses en la Play Store, y aunque la mayoría tiene poco más de 1.000 instalaciones, no es la primera vez que se reportan apps infectadas en la tienda de Android, y probablemente hayan más casos esperando a ser descubiertos.
