Lo expertos descubrieron que la mayoría de APK de malware de Android se descargan a través de la tienda oficial de Google.

Un estudio a gran escala mostró que en el 67% de los casos, las aplicaciones potencialmente peligrosas y maliciosas ingresan a los dispositivos Android al descargarlas de Google Play Store. Estos resultados contradicen la creencia popular de que los minoristas online de terceros son el principal caldo de cultivo para el software de teléfonos no deseado.

La investigación se llevó a cabo como un proyecto conjunto de NortonLifeLock (antes Symantec ) y una de las universidades de Madrid. Trabajaron como parte del programa nacional para el desarrollo de tecnologías avanzadas IMDEA. La muestra de control incluyó 7,9 millones de aplicaciones únicas (34 millones de APK) instaladas en 12 millones de teléfonos Android. Se tomaron como base los datos de telemetría obtenidos durante cuatro meses, de junio a septiembre de 2019.

El análisis mostró (PDF) que los programas cuestionables están presentes en casi una cuarta parte de los dispositivos móviles. Dos quintas partes de estos resultaron ser un malware de Android. El resto de los expertos los calificaron como programas potencialmente no deseados (PUP, potentially unwanted programs).

Los investigadores centraron sus principales esfuerzos en identificar las fuentes de dichas descargas. Al final resultó que, las aplicaciones de Android generalmente llegan a un teléfono de una de las siguientes maneras.

  • descargándolo de la tienda online oficial de Google
  • mediante la descarga de sitios similares de terceros
  • descargas a través del navegador
  • como resultado de la distribución según el esquema comercial PPI (pago por instalación, con una tarifa por cada instalación)
  • restauración desde copias de seguridad
  • descargando desde el enlace en el mensaje IM
  • descargar temas para teléfonos de las tiendas
  • cargando desde un medio externo o mediante un administrador de archivos local
  • descargando desde una carpeta compartida
  • un paquete con software preinstalado (el llamado bloatware)
  • cargas a través de la gestión de dispositivos móviles corporativos (MDM)
  • usando el instalador

Y para esto Google tanto quiere prohibir la instalación de apk de otros fuentes?

La mayoría de las instalaciones de APK (87%) provienen de Google Play Store. Para sorpresa de los investigadores, la misma tienda encabezó la lista de fuentes de descargas no deseadas. La puntuación de Play Store del 67% estuvo muy por encima del resultado de las tiendas alternativas (10%) en segundo lugar.

Cabe destacar que el bloatware es actualmente uno de los vectores más importantes de distribución de APK. Las descargas web son raras, pero mucho más peligrosas, incluso en comparación con las tiendas no oficiales. Automatizar las copias de seguridad y las restauraciones también conlleva un cierto riesgo. Los programas no deseados en este caso pueden migrar a un nuevo teléfono.