Google Bouncer, el escáner antimalware de Android, en entredicho

Bouncer es el nombre del escáner que Google utiliza para analizar todas las aplicaciones que se cargan en Google Play, la tienda de aplicaciones de Android. Ahora dos investigadores han encontrado la manera de engañar a Bouncer, lo que permitiría a los creadores de malware subir aplicaciones maliciosas a Play.

Han sido Jon Oberheide y Charlie Miller, dos investigadores de seguridad móvil, quienes han descubierto varios métodos que permitirían que las aplicaciones maliciosas detectaran cuándo están siendo inspeccionados por el escánaer de Google, y esconder sus verdaderos propósitos.

Fue el pasado mes de febrero cuando Google explicó que utilizaba a Bouncer para explorar todas las aplicaciones disponibles en Google Play en busca de malware. Lo que hace el escáner es ejecutar todas las aplicaciones en un emulador de Android para estudiar su comportamiento, algo que llevan años los programas antivirus. Pero los creadores de malware aprenden deprisa y ahora están diseñando sus creaciones para suprimir su conducta maliciosa si detectan que se están utilizando entornos emulados.

Oberheide y Miller hacen algo parecido para poder superar a Bouncer. Han creado una aplicación que se conecta a su servidor y permite ejecutar comandos básicos en dispositivos Android cuando están funcionando sin necesidad de permisos especiales por parte del sistema operativo de Google.

Para demostrar sus descubrimientos, los investigadores han creado una cuenta falsa de desarrollador en Google Play, algo que aseguran que es muy fácil de hacer, y han subido la aplicación; cuando es analizada por Bouncer dentro de su emulador de Android, la aplicación permite que los investigadores consigan información sobre ese entorno y que identifiquen los bits de información que son únicos para Bouncer y que puede servir como huella digital, explican en un post. Después, la aplicación maliciosa puede utilizar esa información para determinar si el sistema en el que está funcionando es el escáner de Google o el dispositivo real.

Oberheide y Miller dice que este no es el único método para superar a Bouncer y que mostrarán todas sus investigaciones durante la conferencia SummerCon que se celebrará en Nueva York el próximo viernes.