La gente de Symantec ha avisado a todos sobre una nueva pieza de malware de Android, llamando a Android.Counterclank "una amenaza similar a un bot que puede recibir comandos para llevar a cabo ciertas acciones, así como robar información del dispositivo". Señalan que al iniciar una de las aplicaciones "infectadas" con el paquete apperhand SDK, se mostrará un segundo servicio en ejecución y, a menudo, coloca un icono de búsqueda en la pantalla de inicio. Han verificado que está en 13 aplicaciones en el Android Market y lo llaman "la distribución más alta de cualquier malware identificado en lo que va del año". Algunos informes en Internet afirman que puede haber afectado a 5 millones de usuarios. Eso es 5, 000, 000, un número enorme y aterrador. Y es un gran titular.
Pero parece que Symantec podría haber disparado un poco.
Lookout, un competidor en el campo de la seguridad de Android, dice que las aplicaciones no son malware y que el paquete apperhand es un componente legítimo, pero agresivo. Es parte de un kit de desarrollo de software publicitario que es una versión modificada de la plataforma "ChoopCheec" o SDK "Plankton" que fue el foco de algunas preocupaciones de privacidad en junio de 2011. Esta versión más nueva es más limpia, pero aún tiene capacidades comunes para muchos redes publicitarias. Escribe Lookout:
- Es capaz de identificar al usuario únicamente por su número IMEI, por ejemplo. Pero a diferencia de algunas redes, este SDK adelanta el IMEI antes de enviarlo a su servidor. Están identificando su dispositivo, pero están ofuscando los datos sin procesar. (Eso es bueno.)
- El SDK tiene la capacidad de entregar anuncios de "notificación push" al usuario. No somos grandes admiradores de las notificaciones automáticas, pero tampoco consideramos que la publicidad de notificaciones automáticas sea malware.
- El SDK suelta un icono de búsqueda en el escritorio. Nuevamente, consideramos una mala forma, aunque no consideramos que sea una pistola humeante para el malware, siempre que el contenido que se entrega sea seguro. En este caso, es simplemente un enlace a un motor de búsqueda.
- El SDK también tiene la capacidad de enviar marcadores al navegador. En nuestra opinión, esto es cruza una línea; aunque no creemos que esto sea causa de clasificar el SDK como malware.
No estamos seguros de qué tan lejos está demasiado lejos, pero si las aplicaciones utilizan prácticas que se encuentran en "muchas" otras redes publicitarias, estamos de acuerdo con los puntos de Lookouts enumerados aquí y tenemos que llamar a esto un problema cuando hablamos de malware. Sobre el tema de la privacidad y el intercambio desenfrenado de datos de usuarios, no nos encanta, pero no es malware.
No somos especialistas en seguridad, y nunca pretendemos serlo. Podemos separar las aplicaciones y ver qué se esconde allí, pero es mejor que los expertos analicen y analicen en profundidad. Dicho esto, somos expertos en atrapar mierda, y esta apesta. A nadie le gustan los anuncios, pero no podemos llamarlos malware siempre que lo deseemos. Forman parte del modelo de aplicación con publicidad, y deberíamos esperar ver más de lo que queremos. Cuando se portan mal, pide la cabeza de alguien, pero no antes.
Pero eso no es sensacional. Titulares como " La operación masiva de malware para Android de Computerworld puede haber infectado a 5 millones de usuarios " causan controversia, y todos adoran una controversia. Convenientemente, se olvida que la marca de 5 millones es agregar el extremo superior de los contadores de descarga, lo que permite un margen de error de 4 millones de dispositivos. Y nos gustaría pensar que si se infectaran hasta 1 millón de dispositivos de gama baja, Google y el equipo de Android Market habrían dicho algo.
En resumidas cuentas, esta noche dormiremos bien. Superar.
Más: Symantec; Estar atento
