Bluebox, compañía de seguridad informática, recientemente ha alertado sobre una nueva vulnerabilidad de los sistemas Android, con la que se puede convertir aplicaciones legítimas en troyanos, consiguiendo pasar totalmente desapercibidas en la tienda de aplicaciones, el teléfono o el usuario.

Esta vulnerabilidad afecta a todos los dispositivos Android lanzados al mercado en los últimos cuatro años. Dependiendo del tipo de aplicación, el hacker podría robar datos hasta conseguir crear una red de bots móviles.

Bluebox Security emitió un informe, en el que aseguraba que el riesgo tanto para usuarios como para empresas es grande, y que además se vuelve todavía más importante si tenemos en cuenta que las aplicaciones desarrolladas por los fabricantes de dispositivos como HTC, Samsung, Motorola o LG, o de terceros que trabajan en cooperación con el fabricante del dispositivo, ya que se otorgan privilegios elevados especiales dentro de Android, de manera específica el acceso UID del sistema.

Todas las aplicaciones Android llevan consigo firmas criptográficas que Android usa para determinar si la aplicación es legítima y así poder verificar que la aplicación no ha sido alterada o modificada. Esta vulnerabilidad es la que consigue cambiar el código de una aplicación sin afectar a la firma criptográfica de la aplicación, con lo que un autor malicioso puede conseguir engañar a Android creyendo que la aplicación no cambia.

La compañía de seguridad afirma: “Todo depende de la capacidad de los fabricantes de dispositivos para producir y lanzar actualizaciones de firmware para los dispositivos móviles y que los usuarios las instalen. La disponibilidad de estas actualizaciones varían ampliamente dependiendo del fabricante y el modelo que se trate”.