Alerta: Estas son las 10 “apps” de Android que suman 45 millones de descargas y robaban datos sensibles

Un “software” de terceros integrado con las aplicaciones enviaba la información a un servidor en Panamá. Las versiones actualmente disponibles en Google Play ya no lo incluyen, pero las instalaciones realizadas antes del 20 de octubre de 2021 continúan recopilando y enviando datos sensibles de los usuarios

Entre las "apps" con el SDK recolector de datos se encuentran varias con 10 millones de instalaciones cada una.
Entre las "apps" con el SDK recolector de datos se encuentran varias con 10 millones de instalaciones cada una. FOTO: La Razón (Custom Credit) Cortesía de Adrien / Unsplash.

La firma de análisis de aplicaciones móviles AppCensus ha publicado su investigación sobre un grupo de “apps” para Android disponibles en Google Play que recopilaban información sensible de los usuarios a través de un “software” de terceros integrado con ellas. Las diez aplicaciones identificadas por AppCensus suman un total de más de 45 millones de descargas y entre ellas se encuentran desde detectores de radares en carretera a aplicaciones de rezos del Corán pasando por editores de sonido, lectores QR e información metereológica, entre otras.

El SDK (“Software Development Kit” o Kit de Desarrollo de Software) de terceros que los desarrolladores incluyeron en las aplicaciones tenía la capacidad de capturar el contenido almacenado en el portapapeles de Android, información GPS, direcciones de correo, números de teléfono y la dirección MAC del “router” al que se conecta el móvil y el SSID de la red. Toda esta información supone un importante riesgo de seguridad para los usuarios, especialmente la almacenada en el portapapeles que puede llegar a incluir datos tan sensibles como números de tarjetas de crédito, contraseñas o información de la cartera de criptomonedas, por ejemplo.

Según recoge Bleeping Computer, la información recopilada era transmitida por el SDK al dominio mobile.measurelib.com, aparentemente propiedad de la firma de analítica ubicada en Panamá Measurement Systems. El riesgo de seguridad es tanto el uso que se le pueda dar a los datos transmitidos como que una precaria seguridad del servidor en el que se almacenan permita su filtración.

Measurement Systems promociona el SDK recolector de información llamado Coelib, que presenta como una oportunidad de monetización para las “apps” que lo empleen y una forma de generar beneficios sin anuncios.

Captura de la web de Measurement Systems.
Captura de la web de Measurement Systems. FOTO: La Razón (Custom Credit) Cortesía de AppCensus.

Estas son las “apps” de Android que usaban el SDK de Measurement Systems

AppCensus reportó a Google el resultado de su investigación el pasado 20 de octubre de 2021, hace algo menos de seis meses, tras lo que la compañía eliminó las “apps” de Google Play. Posteriormente, los desarrolladores republicaron nuevas versiones de sus aplicaciones en la tienda de Android, ya sin el SDK de Measurement Systems.

En consecuencia, los usuarios que las hayan descargado con posterioridad al 20 de octubre no están expuestos a ningún problema de seguridad. Pero los que las tengan instaladas desde una fecha anterior, mantienen en su móvil el SDK recopilando información sensible en segundo plano y enviándola a Measurement Systems. En este caso se aconseja proceder inmediatamente a su desinstalación y descargar la versión de la “app” sin el SDK recolector de datos. Las aplicaciones que AppCensus ha identificado que hacían uso del SDK, junto con el tipo de información que han comprobado que recoge en cada caso, son:

  • Radar cámara speed (PRO): Detector de radares en carretera con 10 millones de instalaciones. Recopila número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador.
  • Al-Moazin Lite (Prayer Times): Aplicación para horarios de rezo con 10 millones de instalaciones. Recopila número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador.
  • WiFi Mouse(Ratón teclado): Aplicación para usar el “smartphone” como ratón del ordenador con 10 millones de instalaciones. Recopila dirección MAC del “router”.
  • QR & Barcode Scanner, Maker: Lector de códigos QR con 5 millones de instalaciones. Recopila número de teléfono, dirección de correo electrónico, IMEI, datos de GPS, SSID del enrutador, dirección MAC del enrutador.
  • Qibla Compass - Ramadan 2022: Aplicación para calendario de rezos con 5 millones de instalaciones. Recopila datos GPS, SSID del enrutador, dirección MAC del enrutador.
  • Tiempo y reloj simple: Aplicación de información meteorológica con 1 millón de instalaciones. Recopila número de teléfono, IMEI, SSID del enrutador, dirección MAC del enrutador.
  • Handcent Next SMS-Text w/ MMS: Gestión de SMS con 1 millón de instalaciones. Recopila dirección de correo electrónico, IMEI, SSID del enrutador, dirección MAC del enrutador.
  • Smart Kit 360: Aplicación multiusos con 1 millón de instalaciones. Recopila dirección de correo electrónico, IMEI, SSID del enrutador, dirección MAC del enrutador.
  • Al Quran Mp3 - 50 Reciters & Translation Audio: Aplicación del Corán con 1 millón de instalaciones. Recopila datos GPS, SSID del enrutador, dirección MAC del enrutador.
  • Full Quran MP3 - Ramadan 2022: Aplicación del Corán con 1 millón de instalaciones. Recopila datos GPS, SSID del enrutador, dirección MAC del enrutador.
  • Audiosdroid Audio Studio DAW: Editor de sonido con 1 millón de instalaciones. Recopila número de teléfono, IMEI, datos GPS, SSID del enrutador, dirección MAC del enrutador.