He visto una aplicación del juego Android 2 Gingerbread PoC en la que se suponía que debías tocar objetos en movimiento. El truco fue que después de tocar algunos objetos, la aplicación llamaría a la página de configuración donde se encuentran las "fuentes desconocidas". El siguiente objeto a ser tocado estaba justo donde aparecía la casilla de verificación, por lo que engañaría al usuario para que lo tocara. Entonces el juego se centraría en sí mismo, por lo que el truco era apenas perceptible.
Android 4 aún permite que las aplicaciones muestren páginas de configuración (la aplicación Mapas muestra la pantalla de configuración del GPS) pero agregó un mensaje de confirmación para cuando se permiten fuentes desconocidas. Este mensaje de confirmación aún sería vulnerable al mismo truco pero sería más notable.
El nombre del APK anterior sugiere un truco de ingeniería social para que el usuario instale el APK en un teléfono que, con suerte, tenga activada la opción "Permitir la instalación de aplicaciones que no sean de Market" (también conocidas como "Fuentes desconocidas"). Pero una aplicación legítima de Play Store podría engañar a un usuario para que permita fuentes desconocidas y luego podría dirigirlo a un sitio similar al que se menciona en esta pregunta.
Este tipo de ataques combinados son reales pero no causan compromisos a gran escala dignos de atención de los medios ... hasta que robar 36 millones de euros .