Autor:
Sergio de los Satos ssantos,@11paths.com,@ssantosv, el 25 de febrero de 2014 en
http://blog.elevenpaths.com/
¿Qué
tipo de "malware" encontramos en Google Play? Ante esta discusión
sobre niveles de infección que presentábamos en una entrada anterior, no es sencillo saber quién tiene
razón. Lo primero que habría que definir es qué es malware exactamente, al
menos en el contexto de Google Play.
Seguimos
observando las apps falsas en Google Play. En esta entrada estudiaremos una
posible clasificación del "fakes" que se puede encontrar en el market
oficial, junto con algunos ejemplos. Esta clasificación no pretende ser
demasiado rigurosa ni exhaustiva puesto que se basa más en el
"aspecto" que pueden adoptar las apps falsas que en lo que pueden
llegar conseguir en el teléfono. En estos casos, su objetivo suele ser siempre
conseguir descargas oportunistas, rápidas y lucrativas. Normalmente
intentan la instalación en el teléfono (aunque sea efímera) y que esto le
permita al menos ser pagado por instalación de un paquete de publicidad, u obtener
datos relevantes.
Troyanos
(bancarios o no)
Se
podría incluir aquí el concepto de malware de Windows trasladado a
Android. Esto, aunque parezca muy amplio, quiere decir que se traslada el
concepto de lucro despiadado a través del robo de datos, suplantación de apps
bancarias, phishing... También los hay incluso que intentan infectar Windows a través del teléfono y
viceversa cuando
se conectan. De estos hay tantos como malware en Windows, y cada uno con su
forma particular de actuar, pero aprovechan especialmente las particularidades
del sistema operativo. Afortunadamente, son los más difíciles de ver en Google
Play, pero no por ello son "raros".
Lo
cierto es que parece una industria al alza, con avistamientos de malware
sofisticado, con un funcionamiento (tanto técnico como logístico) muy parecido
al malware bancario tradicional para Windows, como por ejemplo el reciente iBanking, cuyo código
fuente se ha filtrado,
pero se estaba vendiendo en entornos underground. Contaba con un panel de
control web, al estilo del malware "tradicional" para Windows.
Malware
y aplicaciones "espía"
Sin
intentar imitar a nadie, son realmente sistemas de rastreo, espía, etc. Quizás
orientados al control de menores. Pensadas para usuarios que deseen
directamente espiar/troyanizar a alguien. No se ocultan, y dejan a criterio del
usuario su utilidad. A veces Google Play las retira.
Programas que "parecen" otros, pero no lo son realmente.
Intentan
confundir al usuario. Su finalidad es conseguir descargas y lucrarse con la
publicidad o realmente infectar al usuario a través de otros medios. Suelen ser
oportunistas, esconderse bajo la coletilla de "wallpapers" sobre
alguna actriz o película de moda, o bajo las palabras "guide",
"hacks", "unlimited coins", "cheats".... como
guías y trucos para pasar ciertas pantallas complejas de los juegos del
momento. Mientras que las guías legítimas suelen dejar bien claro lo que son en
la imagen y descripción de la app, otros no hacen distinción, invitan a la
confusión e intentan infectar al usuario.
Los
atacantes que utilizan la coletilla de "tricks" en sus nombres,
manteniendo la imagen original del juego (y por tanto confundiendo al
usuario) consiguen permanecer en Google Play mucho más días y pasar más
desapercibidos. Durante el tiempo que ha durado este estudio, hemos
observado algunos programas falsos que, siendo simplemente adware, con estas
coletillas en el título han conseguido sobrevivir semanas en el market.
Programas
que parecen otros, lo son e incluso puede que funcionen como el resto, pero
además incluyen adware
Los
atacantes reempaquetan el original al más puro estilo de los troyanos clásicos.
Esto fue muy habitual hace pocos años y se generaron muchas alertas al
respecto. Parece que ahora ocurre en menor medida después de que Google
mejorara sus filtros. En algunos casos, la confusión es total sobre cuál es el
juego "original".
Programas
estafa
Son los
programas que buscan la estafa directamente, invitando al usuario a pagar
por servicios por los que probablemente nunca pagaría conscientemente, o
suscribiéndolos de forma poco clara a mensajes premium, incluso si necesitan
confirmación. Ya son varias las muestras que se han encontrado en Google Play
que eluden la confirmación a través de un PIN en un SMS, de forma que el propio
programa lee el mensaje de confirmación y "responde" por el usuario.
Así,queda suscrito de forma transparente (sin confirmación explícita) y se le
comienza a cobrar por mensaje recibido. Este caso fue ampliamente discutido aquí, aunque Panda ya ha encontrado otros
ejemplos similares.
Dentro
de este modelo, se pueden observar varios ejemplos centrados en
España de
los que hemos hablado en otras
ocasiones.
Aquí
podríamos incluir las supuestas "bromas" que solo sirven para robar
datos. Es ya un clásico la broma de las WiFis. Se trata de aplicaciones
que dicen poder "adivinar" las claves de las WiFi alrededor del
teléfono. Algunas de ellas, avisan de que son una simple broma.
Pero
muchas otras, no. De lo que tampoco avisan, es de que pueden contener
código como este en su interior:
Las
aplicaciones que supuestamente avisan de que son una "broma" a modo
de "disclaimer", pueden permanecer en Google Play
indefinidamente, independientemente de que realicen este robo de datos en
segundo plano.
Programas
que, en Google Play son presentados como réplicas casi exactas de otros
Estos
han sido muy comunes durante todo 2013. Excepto en el nombre del fabricante y
el número de descargas, sería complicado reconocer si una aplicación es
legítima o no. Se trata de apps que son simplemente adware, no contienen la
funcionalidad del software original que intentan suplantar. Serían las
"FakeApps" que hemos estudiado y de las que hemos recopilado un buen
puñado de ejemplos. En todos, el fabricante es simulado, inventado, o
deliberadamente remite a alguna parte del título del juego. Suelen pesar entre
200 y 400 kilobytes (frente a los varios megas de las apps originales que
simulan) y solo constan del código necesario para que se ejecute el adware.
Es
importante destacar que en ocasiones, ni siquiera son cazados como malware por
ningún motor antivirus. A veces incluso requieren menos permisos que las
originales, o no contienen un sistema de profesionalización del malware. Basta
con que no sean lo que prometen (no contengan en ningún momento la funcionalidad
prometida) y supongan algún tipo de intrusión en el teléfono (con adware), como
para que sean consideradas "fake".
En
cualquier caso, resulta evidente la importancia del nombre y, sobre todo,
la imagen. Más aún que la descripción, imágenes, o incluso descargas y
reputación del fabricante. Un atacante que consigue mimetizar imagen y
título de una app, tendrá muchas descargas rápidas garantizadas. Si la
búsqueda se realiza desde un móvil, el desconcierto para el usuario y las
posibilidades de que "pique" aumentan considerablemente, porque los
elementos con los que cuenta el usuario para evaluar disminuyen, facilitando la
estafa. En el ejemplo de la figura (donde se suplanta la imagen de BlackBerry
Messenger), se muestra cómo la aplicación maliciosa puede llegar a
aparecer antes incluso que la legítima en las búsquedas.
Este
tipo de estafas ha sido muy común durante 2013 en Google Play, aunque parece
que empieza a remitir el fenómeno. También, como último ejemplo, para el
atacante es importante ser muy oportuno, en el sentido de estar al tanto
de las últimas búsquedas y tendencias para practicar un buen SEO dentro de Google
Play. Si es necesario, incluso pueden modificar nombre e icono de una
aplicación cuando así lo requiere "el mercado" aun a riesgo de
que no describa para nada la utilidad real. Solo para ganar descargas. Este es
un buen ejemplo reciente.
Continuaremos
en la próxima entrega analizando qué aplicaciones suelen ser falseadas y más
ejemplos.
Sergio
de los Santos
ssantos@11paths.com
**************************************************************************
El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes"
El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias
***************************************************************************
No hay comentarios:
Publicar un comentario