lunes, enero 12, 2015

El "crappware" para Android en Google Play se mueve pero NO desaparece

Decía en una conferencia interna Sergio de los Santos (@ssantosv), nuestro compañero de Eleven Paths, que él no trabajaba en Path 5, sino que únicamente se sentaba a jugar y ver lo que pasaba en el mundo del adware. Desde que aceleramos el lanzamiento del Path 5 para el Security Innovation Day 2014 ya podemos jugar todos con el juguete, así que de vez en cuando paso un rato viendo cómo funcionan estos que viven de hacer "crappware" en Google Play y viendo qué cosas te puedes encontrar por esas apps perdidas. Hoy es uno de esos días.

Figura 1: El "crappware" para Android en Google Play se mueve pero no desaparece

FakeApps y MainStream

Una de las cosas curiosas que tiene el adware en Google Play, es que buscan meterse en el mainstream de las keywords de apps más buscadas. Es decir, en las búsquedas de las apps más descargadas en el mundo y más instaladas por todos los usuarios. Nombres de juegos o de aplicaciones muy comunes son lo más habitual para este mundo. Todo esto lo tenéis explicado en detalle en la serie de nueve artículos en el blog de Eleven Paths llamados "El negocio de las FakeApps y el malware en Google Play".

De todas esas keywords adoradas por los creadores de adware en Google Play, "WhatsApp" es una de las más elegidas, así que adware, fakeapps o malware en general busca posicionarse con la palabra WhatsApp. En la plataforma Path 5, nosotros tenemos creados filtros, que generan canales RSS a los que te puedes suscribir para luego procesar los resultados, por ejemplo como os enseñamos utilizando Sinfonier. Entre ellos tenemos uno para localizar todas las nuevas apps que se suben a Google Play con la palabra WhatsApp en el título.

Figura 2: Filtros para localizar nuevas apps con la palabra WhatsApp en el título

Como podéis ver, tenemos muchos filtros, que nos permiten monitorizar apps que tienen acceso a lectura y/o escritura de SMS - para detectar nuevas apps que hicieran estafas de suscripción a servicios premium vía tipo Linterna Molona -, filtros para las apps de Shuabang Botnet, también para conocer las apps que se eliminan cada día del market y un largo etcétera que nos permite saber cómo está el mundo de Android de virulento.

Figura 3: Más de 1.500 apps tienen la palabra WhatsApp en su nombre

El cambio de collar de los desarrolladores de adware

Mirando las apps que tienen el término de WhatApp en el título siempre es fácil localizar alguna que ha sido localizada y tirada por Google. Normalmente por alguna denuncia, por alguna investigación interna o por un reporte de casas de antimalware en general que acaban por firmarla. Cuando esto sucede, nosotros ponemos el ojo en el resto de las apps que han sido generadas por el mismo desarrollador, ya que puede que alguna del resto sean igual de peligrosas.

Figura 4: Un app de "WhatsApp" tirada al desarrollador free gratis (con apps aún activas)

Google no tira la cuenta entera hasta que no hay varias apps que son eliminadas de la misma cuenta por mala praxis, así que los investigadores de seguridad tienen que vigilar si el resto son o no peligrosas. Tened en cuenta que para muchas empresas es fundamental conocer qué apps son maliciosas lo antes posibles, pudiendo filtrar la descarga de las mismas vía un servicio de MDM (Mobile Device Management) o para saber si alguna está instalada ya en un dispositivo de uno de sus empleados.

Los desarrolladores de este tipo de "crappware" también lo saben, así que lo que suelen hacer es crear una nueva cuenta de desarrollador de Google, migrar allí las apps y continuar con el negocio. Encontrar las nuevas cuentas de los desarrolladores, es decir, hacer un poco doxing para saber en qué cuentas se encuentra escondido el mismo desarrollador, es algo para lo que Path 5 nos ayuda mucho, así que con un poco de experiencia, y la búsqueda apropiada es posible localizar la nueva cuenta de este desarrollador.

Doxing de nuevas cuentas de los desarrolladores

Aquí es donde Path 5 demuestra su autentica potencia, ya que aprovechando todos los parámetros por los que se pueden hacer búsqueda, con sencillas consultas podemos llegar a ser capaces de localizar todas las apps relacionadas. En este ejemplo, con un consulta hecha con cariño por los parámetros adecuados, aparece una app más que sospechosa de ser la misma "crapp" pero con distinto collar. 

Figura 5: Una app muy similar pero de otro desarrollador

Permitidme que no os cuente la consulta en detalle, pero si miramos los permisos y enlaces de las apps, es fácil darse cuenta de que son muy similares (además de todas las cosas que son exactamente iguales y que nos trajo hasta aquí).

Figura 6: Permisos y links en WhatsApp Sonidos Notificación (la app retirada de Google Play)

Por supuesto, para poder tener la garantía 100% de que es la misma app deberíamos hacer un análisis del código, algo para lo que en Path 5 guardamos todas las apks de todas las apps que hemos ido descubriendo, así que siempre es posible hacer ese trabajo.

Figura 7: Permisos y enlaces en Sonidos de Notificaciones. Aún en Google Play y de otro desarrollador.

La prueba del Growth Hacking

Para darse cuenta de que ese desarrollador y esa app son exactamente la misma app y el mismo desarrollador pero con otra cuenta y otro collar, podemos ir a ver la app publicada en Google Play que aún está activa. Si nos paramos a mirar los detalles de la publicación podremos sacar muchos más nexos.

Normalmente esto desarrolladores acompañan la publicación de las apps con esfuerzos de Growth Hacking, o lo que es lo mismo, con formas de conseguir posicionamiento de las apps haciendo [Black or Grey or White] ASO (App Store Optimization), por medio de malware, botnets, spam, servicios de posicionamiento por referencia, plataformas de promoción, etcétera. Muchas de estas crapps - más tendentes al Black ASO que al White ASO - tienen por tanto comentarios hechos por cuentas falsas controladas por ellos. 

Figura 8: Marco Gomez ha dado 5 estrellas a Sonidos de Notificaciones

Si miramos los comentarios de esta app, se puede ver que entre los primeros hay alguien muy fan que ha votado con 5 estrellas a esta app. Muy fan debe ser porque hay otros comentarios que dejan muy a las claras cuál es el tipo de app del que estamos hablamos.

Figura 9: Los votos y comentarios de Marco Gomez en Google Play

Si miramos la actividad en Google Play de Marco Gomez, veremos que no solo es fan de esta app de Sonidos de Notificaciones, sino de una buena lista de ellas, entre las que se encuentran muchas que son más o menos del mismo estilo.

Figura 10: Marco Gomez también le da un 5 a Vídeos de Monólogos WhatsApp de "free gratis"

Por supuesto, si nos paramos a ver qué desarrolladores están detrás de todas ellas a las que Marco Gomez está votando tan efusivamente encontraremos - ¡oh, sorpresa! - que aparece el desarrollador original de WhatsApp Sonidos de Notificación del que partíamos.

Conclusiones

Estas técnicas de utilizar cuentas nuevas de apps de Google Play para re-publicar las apps que son tiradas son muy comunes, y por eso muchas de estas cuentas de desarrolladores se compran y se venden - muchas en el mundo underground -, creándose con tarjetas robadas, o usadas para blanquear dinero.

Figura 11: Venta de cuentas de Google Play

Los desarroladores que llevan este negocio necesitan maximizar el rendimiento que les den estas apps durante el tiempo que estén vivas, por eso no abandonan una cuenta hasta que no ha sido eliminada del todo y por eso buscan posicionar las nuevas apps publicadas con la nueva cuenta de desarrollador con una campaña de Growth Hacking haciendo algún tipo de Black ASO. Esto no solo pasa en Google Play, y las campañas de Black ASO con spam de comentarios desde cuentas falsas aparecen también en App Store (donde Apple hace limpia periodicamente).

En una empresa u organización, localizar todas estas apps y tener bloqueado desde el MDM las apps que sus empleados puedan instalarse para evitar problemas mientras que Google las cierra es fundamental. A día de hoy, por desgracia, las ventanas de tiempo que deja Google Play son demasiado grandes y estos creadores de adware, "crappware" o malware lo utilizan a la perfección.

Saludos Malignos!

6 comentarios:

Jonathan Novel dijo...

Muchas gracias por la info Dr!
Saludos, que tengas un buen dia!

Anónimo dijo...

El navegador google chrome con más de 500 millones de descargas en google play pide permisos para acceder a tu Cámara & Micrófono & Vibración (típico de malware)
¿esto es normal?

Anónimo dijo...

La palabra correcta es 'crapware', con una sola 'p'.

Maligno dijo...

@Anónimo, he puesto "crapp-ware" por que son "apps" ¿Qué te parece?

Anónimo dijo...

Yo creo que te rayas un poco, porque la mayoría de las veces que las aplicaciones tienen malware es porque la publicidad que llevan lo contienen, pero no es porque en si la aplicación utilice este malware.
Vamos que no te van a hacer nada!!!!!!!

Montas de un grano de arena un granero ja ja ja me da la risa leyéndote.

Maligno dijo...

@Anónimo, las apps que son adware "no agresivo" Google Play no las tira incluso aunque un AV las marque como maliciosas. Cuando las tira es que son "agrasivas" y peligrosas para la privacidad de los usuarios.

Saludos!

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares