martes, julio 28, 2015

"Prison Break: Escape" en Google Play también es BadWare

Ayer denunciaba nuestro compañero Sergio de los Santos la existencia de nuevas aplicaciones del clicker en Google Play, del que ya hemos hablado en el pasado. Sus apps son todas fake apps que buscan engañar al usuario para que se las instale y luego consumir todo su ancho de banda en el terminal - o toda su tarifa de datos - en un esquema de Click-Fraud con anuncios publicitarios del mundo del porno, un clásico esquema de Fraude Online llevado al mundo de las apps móviles.

Figura 1: "Prisión Break: Escape" en Google Play también es Badware

Este hombre, o grupo de personas, es la cuarta vez que es detectado haciendo este tipo de actividades, y con este post de hoy aún hemos sido capaces de localizar alguna más que aún está activa. Tras las 32 primeras apps que localizamos en Eleven Paths - y el estudio más detallado que publicamos - los investigadores de AVAST y de ESET localizaron nueva apps de este tipo, utilizando como gancho DubMash 2 - con una app que solo mostraba fotos - que utilizaban los mismos servidores que usó en la primera campaña de Febrero, así que no parece una infraestructura hackeada puntualmente sino algo montado con un objetivo concreto.

Figura : Fake App de Dubsmash v2 que solo muestra fotos (y hace Click-Fraud)

Los dominios de la infraestructura, como ya os conté, están registrados a nombre de un correo de un desarrollador de apps turco que incluso tiene asociada una cuenta de Facebook - siguiendo una de las malas prácticas que citaba yo a la hora de subir apps, pero en este caso para registrar servidores que van a hacer cosas malas.

Figura 3: Cuenta Facebook asociada a e-mail de registro Whois de servidores usados para Click-Fraud

En la lista que publicó ayer nuestro compañero Sergio de los Santos, había 24 apps que habían sido descubiertas por medio de nuestra plataforma Tacyt, creando búsquedas de singularidades con las nuevas muestras descubiertas.

Figura 4: Las 24 apps descubiertas en esta nueva campaña

Muchas de ellas simulan ser juegos y lo único que muestran son fotos mientras que por debajo realizan la estafa. Muchos de los comentarios de los usuarios que la instalan - lejos de pensar que están infectados, solo se quejan de que hay fotografías. 
Pero no solo esas apps son maliciosas, como ya conocéis, una vez que se detectan apps la verdadera potencia de Tacyt es crear filtros con las singularidades de estas apps y localizar nuevas muestras que vayan apareciendo y que pertenezcan a la misma familia. Así fue como cuando revisé yo por la tarde la lista de apps apareció aún otra más que no habíamos descubierto porque había sido modificada por la mañana en Google Play. La app simula ser Prison Break: Escape.

Figura 6: Prison Break: Escape es una fake app que también forma parte de la campaña de click-fraud

La app utiliza el mismo truco, simular ser un juego relativo a la serie, para de nuevo solo mostrar fotografías, generando de nuevo el cabreo entre los que se la descargan. Pero, por detrás, sigue siendo una aplicación de la campaña de este clicker. Este gancho hará caer a los fans de la serie, al igual que si lo hubieran hecho con TRON hubiera podido caer yo mismo, que TRON está, dónde está mi corazón.
Figura 7: Mismos comentarios en los primeros que se la descargaron
Figura 8: Fechas de la app. Fue creada el 21 de Julio y el apk final el 27 de Julio de 2015

Visto todo esto, parece que está en plena campaña de generación de dinero a través de Fake Apps, por lo que iremos actualizando el artículo con al lista de nuevas apps que descubramos con Tacyt. Al mismo tiempo está claro que los controles de Google Play no están siendo ninguna barrera para él. Ten cuidado con la que instalas en tu Android.

Saludos Malignos!

4 comentarios:

Anónimo dijo...

No estoy muy metido en el tema de hacking, pero es increible como el mundo vive de la tecnologia ... los ladrones pasan a ser cibercriminales, roban sentados desde su sofa, la verdad es que no hay seguridad que sea 100% efectiva, y eso ya empieza a dar miedo. Pensar que si esta app la modifican y en vez de ser lo que es ahora, pasara a ser un troyano para robar informacion e identidad, ¿que puede hacer la victima? ¿Como puede estar seguro de lo que descarga? Una mejor pregunta, ¿Existe algo que te de seguridad?
Hace un mes empece con el hacking gracias a chema, viendo sus videos en youtube... y escuchandolo me quede sorprendido, y es más, estoy sorprendido lo que se puede hacer desde un ordenador. Saludoss! -Anonymus (?)

Anónimo dijo...

Muchos de los comentarios de los usuarios que la instalan - lejos de pensar que están infectados, solo se quejan de que hay fotografías.

Javi dijo...

Piénsalo Chema, eso te convierte en "Tronista"...mal rollito XD

Lopaulo dijo...

Hola, hace poco sigo su blog y leo mucho de su plataforma tacyt yo soy programador de apps android y he tenido problemas al momento de subir ciertas aplicaciones legales que son un conjunto de lista de reproduccion de videos de youtube mas guiado a videos infantiles, mi pregunta es ustedes trabajan con google play son ustedes los que aceptan o aprueban las aplicaciones para q esten disponibles o acaso su trabajo es joder la mayoria de las apps posibles sin ningún pago a cambio? he tenido varias aplicaciones si quieren investigar de mi mi correo es lopaultimatetry@gmail.com, saludos... por cierto mi cuenta de developer console fue suspendida... :(

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares