Como ya ha pasado en otras ocasiones, una aplicación maliciosa o falsa ha conseguido saltarse las medidas de seguridad impuestas por Google para la Play Store. Si anteriormente se trataba sobre todo de aplicaciones bancarias, en el último caso conocido tenemos una falsificación de WhatsApp que fue descubierta por usuarios de Reddit.
El pasado 3 de noviembre apareció una aplicación llamada Update WhatsApp Messenger que utilizaba el logo oficial y la imagen corporativa del servicio de mensajería, haciéndose pasar por un producto original. Pero quizá lo más sorprendente es ver que el desarrollador fuese WhatsApp Inc. El falsificador consiguió hacerse pasar incluso por la auténtica compañía, dando así más credibilidad a su engaño.
¿Cómo ha sido posible esto? El falsificador no estaba utilizando el nombre de «WhatsApp Inc.», sino el de «WhatsApp Inc.», con un espacio al final que obviamente resultaba imperceptible cuando se lee desde la Play Store. La diferencia entre los nombres resulta más obvia mirando las URL, siendo WhatsApp+Inc. en el caso de la empresa legítima y WhatsApp+Inc.%C2%A0 en el caso del falsificador. Sin embargo, esto último requiere de ciertos conocimientos sobre cómo funciona Internet mediante la web, algo que no tiene todo el mundo.
Esta situación podría ser culpa directa de Google, pudiendo derivar de la no aplicación de una función TRIM a la hora de introducir el nombre del desarrollador en el campo del formulario que a buen seguro tendrán que rellenar quienes quieran publicar aplicaciones en la Play Store. Esto habría permitido la adición de un espacio al final del nombre que no tiene sentido. La otra posibilidad sería un hackeo de la misma Play Store, algo todavía más serio que lo anterior. Tras ser reportado el problema, el gigante de Mountain View eliminó la aplicación de la tienda y suspendió la cuenta del desarrollador.
La excelente falsificación hizo que esta tuviera mucho éxito, siendo descargada en torno a un millón de veces desde la misma Play Store. Sabiendo que no es la primera vez que ocurre algo similar, Google tendría que poner de su parte no solo para eliminar las aplicaciones falsificadas, sino también detectar y expulsar a los desarrolladores que intenten hacerse pasar por otra persona (física o jurídica) legítima.
Sobre sus capacidades, la falsa aplicación de WhatsApp pedía muy pocos permisos, pero tras su instalación se mostraba como una aplicación con publicidad que invitaba al usuario a descargar un instalador APK llamado whatsapp.apk. La aplicación principal intenta ocultarse al no tener título y un icono en blanco.
Fuentes: Naked Security y ThreatPost