Una vulnerabilidad en el instalador de Fortnite para dispositivos móviles Android ha permitido que otras aplicaciones maliciosas lo explotaran para sustituir el paquete de contenido del juego por contenido ajeno y descargar 'malware', como ha descubierto Google.

La compañía de Mountain View envió un reporte a Epic Games el 15 de agosto en el que advertía al estudio sobre la vulnerabilidad presente en el instalador de Fortnite para Android, y el 17 de agosto la compañía ya había solucionado el problema.

El fallo de seguridad del instalador consistía en una vulnerabilidad derivada de la forma en la cual aplicaciones instaladas en el teléfono podían "secuestrar" al instalador para alojar 'malware' en el almacenamiento externo, como detalla XDA Developers.

El pasado 9 de agosto Epic Games lanzó su versión de Fortnite para Androidaunque no lo hizo a través de Google Play, sino por paquetes APK directamente a través de su web, en la que incluía el instalador afectado, o desde la tienda de Samsung.

La vulnerabilidad hallada se podía explotar de forma especial en los Samsung Galaxy. Para ello, un 'exploit' de tipo Man-in-the-disk monitorizaba y vigilaba previamente todos los procesos que se producen dentro del almacenamiento externo del dispositivo en el cual se descarga, ya que posee permisos de lectura (habilitados de forma automática en Android 4.4 y las versiones posteriores). El problema detectado permitía a esta aplicación aprovechar los permisos que el instalador posee de forma predeterminada.

Al descargarse desde la tienda, la 'app' de Fortnite para Samsung Galaxy ostenta de forma automática todos los permisos concedidos sin necesidad de solicitarlos al usuario. El juego no se almacenaba en un directorio propio, sino dentro del almacenamiento externo del dispositivo. Una vez acabado el proceso de instalación, el 'malware' sustituía el paquete de Fortnite por otro propio con contenido malicioso.

La descarga de este nuevo contenido se producía de forma silenciosa, ya que se utilizaban los permisos de escritura que la aplicación de Fortnite lleva ligados. El "malware" llegaba a los terminales Galaxy de Samsung de los usuarios sin que estos fueran conscientes, ya que bloqueaba el sistema de notificaciones.

Además, si la aplicación falsa descargada iba enfocada a un kit de desarrollo de software (SDK) versión 22 o inferior (el propio de las versiones anteriores a Android 5.1), esta contaba con todo tipo de permisos a la hora de la instalación y daba la posibilidad de infectar el terminal.

La vulnerabilidad también podía explotarse en otros dispositivos distintos de Samsung Galaxy, pero en estos la descarga de la aplicación falsa no se realizaba de incógnito. Esto se debe a que Fortnite no se descargaba a través de la tienda, sino por medio de la página web, un lugar propiedad de un tercero.

El reporte de Google se realizó el día 15, Epic Games solucionó el problema dos días después por medio de la actualización 2.1.0 del juego y el 24 de agosto se hizo público este reporte. Con la nueva versión, Fortnite se instala directamente en el almacenamiento interno.

La versión móvil de Fortnite llegó a los Samsung Galaxy una semana antes de su salida, por medio de una aplicación propia de estos dispositivos disponible a través de la tienda de Samsung. Para el resto de terminales, la descargaba se realizaba directamente desde la página web de Epic Games.