Los troyanos en Android podrían captar las contraseñas por las pulsaciones en el móvil

La evolución del malware en Android se desarrolla a un ritmo muy acelerado. La última exportación desde el PC al dispositivo móvil en este tipo de software malicioso ha sido la posibilidad de captar lo que los usuarios pulsan en el teclado virtual del teléfono para hacerse con sus contraseñas, aunque por fortuna para el usuario se trata de una aplicación experimental.

Nuestro portal especializado en el sistema operativo móvil de Google, AndroidAyuda.com, informa de la investigación desarrollada por un equipo de la Universidad Estatal de Pensilvania (PSU) e IBM. Con el fin de demostrar la fragilidad del sistema actual y de alertar de la posible aparición de un peligroso tipo de software malicioso, los investigadores han diseñado una aplicación que se hace pasar por un videojuego pero cuya función real es registrar todas las pulsaciones que el usuario ejecuta en el teclado virtual.

Para hacerse con ellas usa los sensores del terminal rastreando en qué posiciones exactamente ha puesto el usuario el dedo. Los investigadores señalan que la mayoría de las aplicaciones para esta plataforma piden acceso -y lo consiguen- a la información que proporcionan dichos sensores. Habitualmente esto sirve para que funcionen correctamente aplicaciones como Google Maps o aquellas relacionadas con la llamada "realidad aumentada". No obstante, con el potencial desarrollo de estas aplicaciones maliciosas, estamos ante un arma de doble filo.

Según explica su prueba de concepto bajo el nombre de TapLogger, una aplicación maliciosa podría deducir dónde hemos puesto el dedo en el teclado virtual de la pantalla y, gracias al giroscopio, acelerómetro y los sensores de movimiento que los smartphone integran, registrar todo lo tecleado así como enviarlo a un servidor externo de forma oculta. La clave de desbloqueo, el número PIN, la contraseña de acceso a una web o el número de teléfono que marcamos son sólo algunos de los datos con los que puede hacerse TapLogger gracias a su proceso de aprendizaje en función de donde pulsa el usuario en la pantalla.

El porcentaje de acierto que tiene el programa es aún muy mejorable, pero sólo nos indica hasta dónde pueden llegar las aplicaciones maliciosas en un futuro a corto plazo. Aunque el motivo de la investigación no es dar ideas a los desarrolladores de este tipo de software, no tardaremos en ver los primeros troyanos que utilicen esta técnica, basada en los famosos keylogger para ordenadores que registran todas las pulsaciones en el teclado.