domingo, febrero 15, 2015

Descubrir apps gremlin en Android con la caché de Google

Una vez que te has instalado un app en tu terminal Android, si has configurado la actualización automática de nuevas versiones de las aplicaciones, cuando el desarrollador saca una nueva versión se instalará en el sistema operativo sin decir nada. Esto puede ser utilizado de forma maliciosa para infectar equipos que tienen instaladas ya una determinada app, haciendo que una app inicialmente inocua se convierta en un Gremlin malo.

Figura 1: Descubrir apps gremlin en Android con la caché de Google

En el caso de la red de apps utilizadas para la estafa de click-fraud, varias de ellas habían sufrido una transformación similar. Habían pasado de ser apps inocuas a volverse maliciosas y utilizar nombres llamativos para poder conseguir más víctimas, como el caso de esta app llamada Cut Rope Chritsmas, que simula ser una versión moderna del popular juego.

Figura 2: App maliciosa utilizada en la estafa de click-fraud usando la imagen de Cut The Rope

El volver una app maliciosa hace que su tiempo en Google Play empiece a estar bajo una cuenta atrás, y es por eso que para maximizar su impacto busquen nombres llamativos y atrayentes para los amigos de gatillo fácil que instalan cualquier cosa que huele a gratis y tiene unas capturas bonitas.

Figura 3: 225 millones de enlaces indexados por Google de Google Play

En el caso de Android, saber si una app ha sido mutada, se puede hacer usando la caché de Google y buscando las páginas de las apps en Google Play. Si miramos en el buscador podemos ver que de Google Play hay unos 225 millones de páginas indexadas, que no es poco. No todas ellas están disponibles, pero en el índice primario hay más de 2.6 millones de páginas indexadas, casi todas de las apps publicadas.

Figura 4: Páginas de Google Play indexadas en el índice primario

Si buscamos en el store por el package name de la app sospechosa, podremos ver si el aspecto que tenía cuando Google la indexó es el mismo que tiene ahora, por lo que sabremos si ha sido mutada recientemente.

Figura 5: Página de una app en Google Play guardada en la caché de Google

Como se puede ver, en este caso la app en la caché de Google mantiene aún el aspecto original, y no se parece en nada a Cut Rope Christmas, nombre que utilizó para maximizar su impacto.

Figura 6: Aspecto de la web en Google Play de esta app cacheada por Google

Es un pequeño truco, pero si tienes duda con una app llamativa, tal vez buscar el aspecto de la web en Google Play que está guardada en la caché de Google pueda sacarte de alguna duda y descubrirte que es un Gremlin.

Saludos Malignos!

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares