¿Es posible que alguien compile una aplicación Android de una aplicación legítima e inyecte un código malicioso, compile y distribuya? El personal de TI de nuestra empresa implementó algunas aplicaciones en nuestros teléfonos móviles (BYOD) y me preocupa un poco.
Es posible que sí, pero no se instalaría como la misma aplicación. Además, la mayoría de las aplicaciones (todas?) En Google Play están firmadas con un certificado con comprobantes de autenticidad.
Un ejemplo: Toman la aplicación oficial de YouTube, la modifican y reemplazan la aplicación real de YouTube en su dispositivo con su falsificación. En Google Play, la aplicación se mostrará como "No instalada" y puedes instalar la versión real paralela a la versión falsa. La razón es la firma diferente y tal vez los nombres de paquetes diferentes.
Confirmando lo que DBX12 dijo, todos los paquetes de Android (APK) deben haberse firmado para poder instalarlos en un dispositivo Android: "Android requiere que todos los APK se firmen digitalmente con un certificado antes de poder instalarlos." App App en el desarrollador de Android
Siendo así, una forma sencilla de averiguar si los usuarios de TI han inyectado código en una aplicación conocida de Google Play es comparar la firma de la muestra contenida en sus teléfonos con el APK de Play Store.
Debido a que la clave privada para firmar la aplicación de los desarrolladores originales no puede ser reproducida por su equipo de TI y para modificar cualquier archivo en el paquete, se debe volver a firmar, comparar las firmas es un método efectivo. Compruebe ¿Cómo puedo verificar el Autenticidad de un archivo APK que descargué? en Android StackExchange para obtener sugerencias sobre eso.
Es posible que su personal de TI inyecte un código malicioso y despliegue las aplicaciones en sus dispositivos. La mejor manera de analizar esto es haciendo un análisis estático y dinámico de su aplicación. No sé si tiene la capacidad técnica para hacer esto, pero lo siguiente es lo que puede hacer para analizar sus aplicaciones recién instaladas.
Obtenga el apk de su departamento de TI (si no tiene que rootear su dispositivo y obtener el apk. El enraizamiento no es una buena práctica).
Descomprima el archivo apk (es solo un archivo zip con una extensión diferente). Descompile el .dex descomprimido usando una herramienta como dex2jar . Esto te dará un archivo jar. Utilice una herramienta como JD-GUI para analizar los archivos java. Puede obtener los niveles de permiso de Android en el archivo de manifiesto y puede analizar el código fuente para encontrar si hay alguna carga de datos, etc.
El análisis dinámico es un poco más complejo que esto e involucra algunas herramientas más como Wireshark y el análisis de comunicaciones externas, etc.