No hay ningún sistema operativo seguro hoy en día, pero una cosa está clara: cuanto más popular es, más riesgo se corre de que haya virus que lo infecten y que fastidien a sus usuarios. Ese es el caso de Android con el nuevo virus Judy, que ya ha afectado a más de 36,5 millones de dispositivos.
La voz de alarma la dio la semana pasada la firma de seguridad Check Point, que fueron quienes le pusieron ese nombre más propio de un huracán que de un virus y quienes advirtieron de que el malware está pensado para generar ingresos por publicidad a costa de los dispositivos que infecta.Judy se ha extendido por más de 41 aplicaciones distintas de la Play Store y puede infectar dispositivos mediante su instalación, algo que el usuario nunca sabe de antemano.
Esta estrategia revela que existe alguna vulnerabilidad en los sistemas que examinan las apps antes de subirlas a su tienda. No está claro, sin embargo, si el virus lleva poco tiempo actuando o mucho tiempo más, pues algunas de las aplicaciones infectadas por llevan en la Play Store años.
Así, cuando se instala una de estas apps, el móvil o tablet empieza a comunicarse con unos servidores a espaldas del usuario para generar visualizaciones de anuncios de forma fraudulenta, lo que generaría ingresos a los responsables de la infección y lo que reduciría la batería y el rendimiento en general del dispositivo.
Google ya está al tanto de esta infección y ha retirado las apps infectadas de su PlayStore, por lo que el riesgo de nuevas infecciones es mucho menor. Aquellos que las tengan instaladas, sin embargo, aún corren riesgos.
¿Cómo actúa el malware Judy?
Judy tiene un funcionamiento similar a malwares anteriores como FalseGuide y Skinner. Se basa en la conexión con el servidor de comando y control (C&C).
Los hackers crearon una app “puente”, aparentemente benigna, con la intención de establecer una conexión con el dispositivo Android. Una vez que el usuario se descarga esta app de la Play Store, se establece una conexión con el servidor C&C.
El virus Judy, que incluye código JavaScript, abre las diferentes urls de navegación del usuario, redirigiendolo a otro sitio web. Es en esta web donde el virus utiliza el código JavaScript para localizar y hacer click en los banners publicitarios.
A través de los dispositivos Android infectados, se generan grandes cantidades de auto clicks de manera fraudulenta, generando importantes ingresos para sus autores.
¿Quién está detrás de Judy?
Se cree que la empresa coreana Kiniwini (registrada en Google Play como Enistudio corp) está detrás del malware. La compañía está especializada en desarrollar aplicaciones móviles tanto para Android como para iOS.