Un popular antivirus chino presente en la Play Store para Android, DU Antivirus Security, ha sido eliminado y restituido por Google tras detectar Check Point que estaba realizando una recolección de datos ilegítima.
Según los datos que se pueden extraer de la propia Play Store, DU Antivirus Security ha sido descargado entre 10 y 50 millones de veces, por lo que estamos hablando de una aplicación que ha conseguido cierta notoriedad en su segmento. Sin embargo, los investigadores de Check Point descubrieron que, además de presuntamente proteger los dispositivos Android del malware, ha estado recolectando datos como identificadores únicos, lista de contactos, registros de llamadas e información de localización.
En el proceso de recolección de datos DU Antivirus Security los cifraba y los enviaba a un servidor cuya IP era 47.88.174.218. Al principio los investigadores pensaron que pertenecía al autor de algún malware, pero tras investigar descubrieron que los registros de DNS y los subdominios adyacentes mostraban que los dominios principales estaban almacenados en un servidor registrado por un empleado de Baidu (el “Google chino”) llamado Zhan Liang Liu.
Los datos recolectados eran luego usados en otra aplicación llamada “Caller ID & Call Block – DU Caller”, la cual también pertenece a DU Group y ofrece información a los usuarios sobre las llamadas de entrada.
Tras ser notificada de forma secreta por Check Point, Google decidió eliminar DU Antivirus Security el 21 de agosto, aunque permitió que volviera el 24 del mismo mes después de que su desarrollador eliminase el código encargado de recolectar la información de los usuarios. Como defensa de su acción, Google ha argumentado que aquel mecanismo no estaba especificado en la política de privacidad ni en la obtención de permisos del usuario en el proceso de instalación. Las versiones afectadas de la aplicación son la v3.1.5 y posiblemente las anteriores, según Check Point.
Sin embargo, el mecanismo de recolección ilegítima hallado en DU Antivirus Security no termina ahí, ya que este ha sido encontrado en otras 30 aplicaciones, de las cuales 12 están o estaban presentes en la Play Store. Según la estadísticas de la tienda de Google, han sido descargadas entre 24 y 89 millones de veces, lo que delata el gran impacto de este software, que puede ser etiquetado como malware.
Check Point ha publicado una lista de las aplicaciones encontradas en la Play Store que utilizan el mecanismo de recolección de datos ilegítimo junto a las que está fuera de la tienda.
Aplicaciones halladas en la Play Store:
Aplicaciones halladas fuera de la Play Store:
- com.power.core.setting
- com.friendivity.biohazard.mobo
- com.energyprotector.tool
- com.power.core.message
- batterysaver.cleaner.speedbooster.taskkiller.phonecooler
- com.rammanager.pro
- com.memoryanalysis.speedbooster
- com.whosthat.callerid
- speedbooster.memorycleaner.phonecleaner.phonecooler
- com.example.demos
- com.android.fb
- antivirus.mobilesecurity.antivirusfree.antivirusandroid
- speedtest.networksecurity.internetbooster
- com.ramreleaser.speedbooster
- com.dianxinos.optimizer.duplay
- com.coolkeeper.instacooler
- com.memoryreleaser.booster
- com.freepopularhotvideo.hotube
Fuente:https://www.muyseguridad.net/2017/09/19/antivirus-chino-android-recolectando-datos/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad