La existencia, recientemente publicada, de la vulnerabilidad «Android Installer Hijacking» (Instalador de Android para secuestro de clics) está siendo explotada por distribuidores de malware y adware, además de estafadores de encuestas en línea, advierte Trend Micro.
Los atacantes no explotan el error, pero se están aprovechando de la preocupación de los usuarios de Android sobre su existencia.
Cuando la vulnerabilidad fue divulgada al público a finales de marzo, Palo Alto Networks ofreció una aplicación gratuita llamada Installer Hijacking Scanner que comprueba si un dispositivo está afectado por el bug (al inicio la mitad de ellos lo estaban).
Esta aplicación se utiliza como un señuelo en al menos una página web:
Curiosamente, al hacer clic en los dos botones de descarga, los usuarios serán llevados a la página oficial de Google Play a la aplicación escáner, pero si se da clic en cualquier otro lugar del sitio, los usuarios serán redirigidos, ya sea a sitios con encuestas en línea o a falsas actualizaciones de software.
Al mismo tiempo, un archivo se descargará automáticamente en el dispositivo: un troyano SMS, adware, o incluso una aplicación legítima.
Los investigadores también encontraron otros dos sitios similares. Uno de ellos, el cual lleva a otro sitio sospechoso, a menudo se encontraba fuera de servicio, los investigadores creen que es un intento de pasar por un perfil bajo. El otro redirecciona a un tercer sitio con una ventana emergente diciendo que el teléfono del visitante está infectado con «(13) Virus!».
No hay archivos que se descarguen automáticamente desde ambos sitios, y en este último ejemplo, la ventana emergente se mantiene incluso si el usuario hace clic en el botón Aceptar o cierra el navegador. La ventana en la que se abrió el sitio también persiste cada vez que se vuelve a abrir el navegador.
«Tomar ventaja de un tema que es tendencia o de un suceso reciente es parte de la maldición de la ingeniería social» dijo Gideon Hernández, el analista de fraude de Trend Micro quien señala y aconseja: «Los usuarios siempre deben visitar sitios de confianza para obtener su información. Para descargar parches para vulnerabilidades y otros amenazas, siempre es mejor ir a la promotora o una fuente oficial».