Black Network Hacking: El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes"

miércoles, 26 de marzo de 2014

El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes"

Autor: Sergio de los Satos ssantos,@11paths.com,@ssantosv, el 25 de febrero de 2014 en http://blog.elevenpaths.com/

¿Qué tipo de "malware" encontramos en Google Play? Ante esta discusión sobre niveles de infección que presentábamos en una entrada anterior, no es sencillo saber quién tiene razón. Lo primero que habría que definir es qué es malware exactamente, al menos en el contexto de Google Play.

Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos una posible clasificación del "fakes" que se puede encontrar en el market oficial, junto con algunos ejemplos. Esta clasificación no pretende ser demasiado rigurosa ni exhaustiva puesto que se basa más en el "aspecto" que pueden adoptar las apps falsas que en lo que pueden llegar conseguir en el teléfono. En estos casos, su objetivo suele ser siempre conseguir descargas oportunistas, rápidas y lucrativas. Normalmente intentan la instalación en el teléfono (aunque sea efímera) y que esto le permita al menos ser pagado por instalación de un paquete de publicidad, u obtener datos relevantes.

Troyanos (bancarios o no)

Se podría incluir aquí el concepto de malware de Windows trasladado a Android. Esto, aunque parezca muy amplio, quiere decir que se traslada el concepto de lucro despiadado a través del robo de datos, suplantación de apps bancarias, phishing... También los hay incluso que intentan infectar Windows a través del teléfono y viceversa cuando se conectan. De estos hay tantos como malware en Windows, y cada uno con su forma particular de actuar, pero aprovechan especialmente las particularidades del sistema operativo. Afortunadamente, son los más difíciles de ver en Google Play, pero no por ello son "raros".

Lo cierto es que parece una industria al alza, con avistamientos de malware sofisticado, con un funcionamiento (tanto técnico como logístico) muy parecido al malware bancario tradicional para Windows, como por ejemplo el reciente iBanking, cuyo código fuente se ha filtrado, pero se estaba vendiendo en entornos underground. Contaba con un panel de control web, al estilo del malware "tradicional" para Windows.

Malware y aplicaciones "espía"

Sin intentar imitar a nadie, son realmente sistemas de rastreo, espía, etc. Quizás orientados al control de menores. Pensadas para usuarios que deseen directamente espiar/troyanizar a alguien. No se ocultan, y dejan a criterio del usuario su utilidad. A veces Google Play las retira.

Programas que "parecen" otros, pero no lo son realmente.

Intentan confundir al usuario. Su finalidad es conseguir descargas y lucrarse con la publicidad o realmente infectar al usuario a través de otros medios. Suelen ser oportunistas, esconderse bajo la coletilla de "wallpapers" sobre alguna actriz o película de moda, o bajo las palabras "guide", "hacks", "unlimited coins", "cheats".... como guías y trucos para pasar ciertas pantallas complejas de los juegos del momento. Mientras que las guías legítimas suelen dejar bien claro lo que son en la imagen y descripción de la app, otros no hacen distinción, invitan a la confusión e intentan infectar al usuario.

Los atacantes que utilizan la coletilla de "tricks" en sus nombres, manteniendo la imagen original del juego (y por tanto confundiendo al usuario) consiguen permanecer en Google Play mucho más días y pasar más desapercibidos. Durante el tiempo que ha durado este estudio, hemos observado algunos programas falsos que, siendo simplemente adware, con estas coletillas en el título han conseguido sobrevivir semanas en el market.

Programas que parecen otros, lo son e incluso puede que funcionen como el resto, pero además incluyen adware

Los atacantes reempaquetan el original al más puro estilo de los troyanos clásicos. Esto fue muy habitual hace pocos años y se generaron muchas alertas al respecto. Parece que ahora ocurre en menor medida después de que Google mejorara sus filtros. En algunos casos, la confusión es total sobre cuál es el juego "original".

Programas estafa

Son los programas que buscan la estafa directamente, invitando al usuario a pagar por servicios por los que probablemente nunca pagaría conscientemente, o suscribiéndolos de forma poco clara a mensajes premium, incluso si necesitan confirmación. Ya son varias las muestras que se han encontrado en Google Play que eluden la confirmación a través de un PIN en un SMS, de forma que el propio programa lee el mensaje de confirmación y "responde" por el usuario. Así,queda suscrito de forma transparente (sin confirmación explícita) y se le comienza a cobrar por mensaje recibido. Este caso fue ampliamente discutido aquí, aunque Panda ya ha encontrado otros ejemplos similares.

Dentro de este modelo, se pueden observar varios ejemplos centrados en España de los que hemos hablado en otras ocasiones.

Aquí podríamos incluir las supuestas "bromas" que solo sirven para robar datos. Es ya un clásico la broma de las WiFis. Se trata de aplicaciones que dicen poder "adivinar" las claves de las WiFi alrededor del teléfono. Algunas de ellas, avisan de que son una simple broma.

Pero muchas otras, no. De lo que tampoco avisan, es de que pueden contener código como este en su interior:

Las aplicaciones que supuestamente avisan de que son una "broma" a modo de "disclaimer", pueden permanecer en Google Play indefinidamente, independientemente de que realicen este robo de datos en segundo plano.

Programas que, en Google Play son presentados como réplicas casi exactas de otros

Estos han sido muy comunes durante todo 2013. Excepto en el nombre del fabricante y el número de descargas, sería complicado reconocer si una aplicación es legítima o no. Se trata de apps que son simplemente adware, no contienen la funcionalidad del software original que intentan suplantar. Serían las "FakeApps" que hemos estudiado y de las que hemos recopilado un buen puñado de ejemplos. En todos, el fabricante es simulado, inventado, o deliberadamente remite a alguna parte del título del juego. Suelen pesar entre 200 y 400 kilobytes (frente a los varios megas de las apps originales que simulan) y solo constan del código necesario para que se ejecute el adware.

Es importante destacar que en ocasiones, ni siquiera son cazados como malware por ningún motor antivirus. A veces incluso requieren menos permisos que las originales, o no contienen un sistema de profesionalización del malware. Basta con que no sean lo que prometen (no contengan en ningún momento la funcionalidad prometida) y supongan algún tipo de intrusión en el teléfono (con adware), como para que sean consideradas "fake".

En cualquier caso, resulta evidente la importancia del nombre y, sobre todo, la imagen. Más aún que la descripción, imágenes, o incluso descargas y reputación del fabricante. Un atacante que consigue mimetizar imagen y título de una app, tendrá muchas descargas rápidas garantizadas. Si la búsqueda se realiza desde un móvil, el desconcierto para el usuario y las posibilidades de que "pique" aumentan considerablemente, porque los elementos con los que cuenta el usuario para evaluar disminuyen, facilitando la estafa. En el ejemplo de la figura (donde se suplanta la imagen de BlackBerry Messenger), se muestra cómo la aplicación maliciosa puede llegar a aparecer antes incluso que la legítima en las búsquedas.

Este tipo de estafas ha sido muy común durante 2013 en Google Play, aunque parece que empieza a remitir el fenómeno. También, como último ejemplo, para el atacante es importante ser muy oportuno, en el sentido de estar al tanto de las últimas búsquedas y tendencias para practicar un buen SEO dentro de Google Play. Si es necesario, incluso pueden modificar nombre e icono de una aplicación cuando así lo requiere "el mercado" aun a riesgo de que no describa para nada la utilidad real. Solo para ganar descargas. Este es un buen ejemplo reciente.