Google Bouncer ¿Sirve para algo?

Que el malware y el poco control del market que ejerce Google es, tal vez, el mayor problema de Android es algo que no es nuevo, por eso, cuando Google anunció el lanzamiento de 'Bouncer' [El Androide libre] [Xataka Android], mucha gente aplaudió la iniciativa.

Bouncer actúa a modo de 'portero de discoteca' con las aplicaciones del market y en teoría bloquea aquellas que puedan ser susceptibles de resultar maliciosas. Y digo bien, en teoría, ya que la práctica deja mucho que desear.

Que Bouncer esté hecho por Google, a priori, se puede presuponer que se trate de un elaborado sistema de análisis basado en patrones, estadística y esas cosas que tan bien se le dan a Google.

Para comprobar la fiabilidad del sistema, le seguimos el juego a Google: Si Bouncer es 'el portero de discoteca', entonces, para subvertirlo necesitamos a la 'Tia sexy que nunca paga entrada'.

Le pedí al siempre brillante Luis Delgado que hiciese una aplicación para el market de Android que fuese MUY sexy y que además tuviese una funcionalidad oculta incluyendo funciones de troyano, en concreto control remoto, ideal para construir una botnet.

El resultado: Sexy Girl

Como se puede ver, no hemos tenido el menor problema en subirla al market de Android y ponerla a disposición del público.

En este vídeo se puede ver la funcionalidad oculta de la aplicación y como todo aquel que se la descargue, queda infectado con un troyano que permite controlar remotamente su dispositivo, en concreto el troyano permite:

• Ejecución de comandos vía shell
• Acceso al sistema de ficheros (incluida la tarjeta de memoria)
• listar procesos y obtener información del dispositivo
• Lanzar un ataque DDoS desde el teléfono

Y todo esto simplemente solicitando como permiso 'Acceso a Internet', uno de los más básicos



Conclusión: Sin duda la iniciativa es interesante y necesaria, pero aun le queda bastante para ser fiable y funcional. No, no es la bala de plata que sustituye al sentido común.

Autor: Yago Jesus
Fuente: Security By Default