jueves, mayo 29, 2014

"Crapware" utiliza la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android

Hoy os vengo a contar una historio curiosa y peculiar de cómo una persona haciendo uso de greyware es capaz de montarse un negocio robando los datos de personas que se descargan sus falsas apps de Google Play en un terminal Android. De cómo lo hace, y de cómo actúa una persona así. Para que quede claro, voy a comenzar la historia desde el principio, para que podáis seguir todo el hilo de investigación y al final me deis vuestra opinión.

El Greyware y las apps en Google Play

Que en Google Play hay mucho adware no es algo que sea una novedad. Ya hace no mucho publiqué un artículo en el que creía que respecto al malware para Android ya se tiene el full-equip porque los estafadores han visto en él un canal propicio para llegar a las víctimas. Entre las cosas que campan por Google Play hay mucho greyware, spyware y adware. Muchas de ellas son aplicaciones que prometen cosas fantásticas de forma gratis, como cuando supuestamente Apple abrió una cuenta en Google Play para vender iWorks.

Figura 1: Un falso desarrollador vendiendo falsas apps de Apple

Es decir, software malicioso que roba datos engañando a los usuarios con unas políticas de privacidad y términos legales de difícil acceso y compresión, algo que se están encargando de hacer ilegal desde hace tiempo, para exigir más claridad y menos estafadores como estos.

Unapp.es se hace una base de datos con tus datos

Google, periódicamente va tirando estas apps de Google Play cuando sus procesos de revisión interna, las casas de antimalware, usuarios o empresas de seguridad van denunciando las apps y los developers maliciosos. Normalmente Google tira al día una buena cantidad de apps que puede rondar entre las 800 o las 2.000 - según el día -. Unas de ellas fueron las apps del desarrollador Wert Exchanger, que fueron tiradas por Google Play de su tienda  y que nos llevó a preguntarnos por qué.

Cuando fuimos a ver por qué Google Play las había tirado haciendo un poco de investigación interna pudimos confirmar que son apps que acceden a "demasiados" datos y que no hacen lo que prometen. Son fake apps que engañan al usuario. Saber a cuáles son los datos a los que acceden es fácil de comprobar, y mirando el código aparece esta sección que se publicó en el blog de Eleven Paths en el que se aprecia que se lleva datos del terminal para generar un buen fichero de datos personales que espero que tenga bien declarado en Agencia de Protección de Datos y con todas las medidas de seguridad pertinentes.

Figura 2: El código que se lleva los datos a un servidor llamado bd.unapp.es

Dicho esto, en el código se puede ver un dominio unapp.es así que bastaba con saber quién ponía este código que se lleva los datos.

La ofensa y amenaza

Cuando lo publicamos escribió a un compañero diciendo que está en sus términos legales la explicación de por qué se llevan esos datos - aunque no se notifica al usuario que se van a llevar esos datos en concreto de los terminales Andorid -. Lo que dice la política es genial, es justo esto:
" Los datos recabados son los adecuados, pertinentes y no excesivos en relación con el ámbito, las finalidades y servicios determinados, explícitos y legítimos de Usatek S.C"

Figura 3: Política de Google Play de acceso al IMEI

El número de apps que tiene haciendo esto, con este código es muy alto, actualmente unas decenas activas que al final del post os dejo con que desarrolladores las ha publicado.

El caso de una app falsa con la imagen de Menéame

Lo más gracioso, es que las apps que se distribuyen son fake-apps, y no hacen lo que prometen o no están activas y utilizan técnicas agresivas para la difusión. Uno de los usuarios activos que tiene ahora es Adrocia, donde se usa la imagen de Menéame, Google y un juego de niños.

Figura 4: El desarrollador Androcia mete el mismo código de fake app

En el caso de Menéate, que usa la imagen de Menéame - además de llevarse los datos con el código que os he dejado en la Figura 2 - fuerza al usuario a poner 5 estrellas sí o sí, para poder usar la app.

Figura 5: Menéate con Menéame. Una fake app que te roba tus datos.

Esto lo hace en todas las apps que publica, por ejemplo, bajo el desarrollador Androcia - uno de los que usa para este negocio -, y algunos usuario se han quejado abiertamente de esto en los comentarios que tienen que dejar.

Figura 6: Comentarios de obligación

Lo peor es que cuando te instalas una de sus apps, la política legal que te muestra es la que he explicado antes, y si no aceptas los términos legales, no pasa nada, a los 20 segundos da como que los has aceptado y NO se lleva los datos a su servidor. Ya sabes, tu nombre, email, etcétera. Datos imprescindibles para ver el contenido según ellos.

Figura 7: A los 20 segundos te automáticamente da por aceptada la política

Sin embargo, como lo que interesa es ganar dinero, los datos de la persona sí que se envían al servidor de publicidad que está utilizando, tal y como se puede ver en esta captura hecha con Burp sobre una esta app corriendo sobre un emulador de Android.

Figura 8: Como se puede ver, se envían los datos a un servidor incluso sin aceptar la política

Por supuesto, una vez que la instalas, la app o no hace nada, o te muestra unas bonitas animaciones que no tienen desperdicio, como que está cargando algo. Lo más curioso es que encima de solo meter una cutre-animación para simular que hacen algo las apps, el tipo utiliza la misma en un buen montón de apps. Mirad este flash de apps para robar WiFi.

Figura 9: Una de las animaciones que usa en sus fake apps de hacking WiFi

Si miramos todos los dominios que usar para colgar estas animaciones, el chiringuito que tiene montado para ganar pasta con Adware & spyware haciendo fraude online es de un nivel de dispersión grande.


El resto de las apps que mantienen su negocio de greyware

Supongo que por este tipo de cosas, las apps son tiradas de Google Play, pero... el número de apps utilizadas en este negocio es muy grande. Así, además del primer desarrollador que vinos antes que utilizaba este negocio, hay muchos más y en Eleven Paths estuvimos buscándolos.

El primero de los usuarios con apps haciendo esto mismo fue el usuario przyjaciele aktor, que por supuesto ya no está en Google Play, pero ahora sigue creando más usuarios desarrolladores, como por ejemplo Nave Real, donde Google Play ya le ha tirado algunas apps.

Figura 9: Las apps de Nave Real, un desarrollador que roba igualmente los datos

En Multimedia apps, - activo ahora mismo - tiene la siguiente lista de apps. La lista de marcas son Antena3, Xplora, TVE, NASA, etcétera.

Figura 10: Las apps de Multimedia apps

En estas que quedan, es fácil ver en el código el mismo segmento que está publicado en la Figura 2 para llevarse los datos. Otro usuario que Google Play ya ha tirado, utilizaba apps con la imagen de La Sexta, RTVE, Antena 3, Televisión de Galicia, alguna que otra linterna, etcétera. Se pueden ver las apps de "Marica non chores" en la caché de Google.

Figura 11: Apps de Marica non chores que usaban el mismo código

Otro de las cuentas de desarrollador que está utilizando en esta recolección de datos con apps es Ricardo Cholete, usando la imagen de Discovery Channel, ESPN, Canal Historia o TeleSur.

Figura 12: Apps de Ricardo Cholete

También tiene un desarrollador con nombre celeron que se ha sumado a la fiesta de las apps de WhatsApp.

Figura 13: Celeron también se suma al WhatsApp

Otros desarrolladores que también uso fue Freida Ideal Desing & Program, Sestaapps, Sestao River The best, Piercing, Leti & Cia, Nay App, etcétera, que por suerte les han tirado ya todas las apps que publicaron. En la caché de Google puedes encontrar lo que hacían.

¿Para que robar todos estos datos?

Tener asociado el IMEI, el número de teléfono y el correo electrónico en una base de datos podría venir bien para los que intentan meter un troyano bancario que robe los SMS de confirmación de operaciones cuando se sepa el nombre de correo electrónico. Es decir, supongamos que una persona está robando los usuarios y contraseñas de accesos bancarios con malware in the browser. Si roba también el correo electrónico, podría ser útil comprar una base de datos que sepa exactamente en qué terminal es en el que hay que meter el troyano, pero esto... esto solo es una suposición.

En definitiva, las apps que genera esta empresa no están hechas para hacerte ningún bien, y desde el inicio son aplicaciones hechas con el objetivo único de robarte los datos y ganar pasta con la publicidad que consigan que te envíen todos los que se lleven tus datos. Esperemos que Google endurezca los controles para evitar que este tipo de apps proliferen tan alegremente.

Saludos Malignos!

Actualización: La historia de esto continúa en Adware & Política
Actualización 2: Más en Unos pensamientos personales sobre buenos y malos

27 comentarios:

  1. Manda güevos el morro que le echa la gente.
    Bravo Chema.

    http://usatek.eu/nuestras-aplicaciones/

    Creo que me voy a bajar la de Videos de Peppa Pig

    ResponderEliminar
  2. Por lo pronto su perfil de LinkedIn lo ha borrado, aunque para eso está la caché de Google, así que cuando el río suena...

    Registrado el fichero de datos en la AEPD está, pero solo para contener teléfonos y correos electrónicos:

    https://www.agpd.es/portalwebAGPD/ficheros_inscritos/titularidad_privada/resultado_privada_avanzada-ides-idphp.php?cfichero=T03P2QUt3BFpsjgHoUxqNw%3D%3D

    En fin, que se puede meter en un lío si alguien se pasa este otro enlace, y tiene pruebas (antes de que las retiren de Google Play) que le avalen:
    http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/denunciasciudadano/index-ides-idphp.php

    ResponderEliminar
  3. Buenos días, como profesor de CFGS de DAW he utilizado el código de las aplicaciones de Nave Real como ejemplo de las cosas que instalan los alumnos sin fijarse en los permisos. Mirando código (que entretenimiento que tengo...) he visto que simplemente ha copiado/utilizado una librería para mostrar anuncios en las apps que todavía pide más permisos.

    ResponderEliminar
  4. El problema realmente está en el usuario. Lo de estafador... pues debería ser un juez el que lo dijera, pero bueno, el hecho de que borre su perfil en linked ya dice algo.
    Salvo por el tema de que google lo permita o no, si el usuario da su consentimiento para dar esos datos y la aplicación hace más o hace menos (lo que sea), ¿donde está el problema?
    Te han comprado tus datos por nada o casi nada, como hacen los demás, google incluido. No soy el único que lo piensa....
    https://pacientecero.wordpress.com/2014/05/29/estafador-de-bilbao/

    ResponderEliminar
  5. Muchas gracias y muy buen trabajo de investigación.

    ResponderEliminar
  6. ...estoy horrorizada .
    Leo estupefacta q a una persona efectivamente anónima, un señor cualquiera se levanta de la cama y le llama estafador" y aqui paz y después gloria...Puede q las aplicaciones sean una mierda, lo desconozco pq afortunadamente tengo trabajo y familia y poco tiempo para el cacharreo" este pero mierda, al fin y al cabo como la q hay en internet desde mi PC o como el lápiz de origen extranjero q no dura un día. ..pero, insisto llamar estafador a alguien sin consecuencias, es moral o ético? O punible? Esto ultimo si... Pq lo tiene q decir un juez,claro.
    Lógico q quien sea, haya quitado su enlace a su página profesional pero vamos! ...aún asi, quién esta detrás de toda esta justicia virtual? No me creo nada de que todo este temasea solo para darme informacion como usuaria....no me lo trago.
    Soy asesora fiscal, y tambien pareciera q este señor a mi me pudiera indicar lo que es la estafa, su repercusion fiscal, legal....incluso penal.
    Ahora que me lío ( es q estoy impresionada todavía) sigo y este señor investigador virtual...donde esta registrado? Quien es ? Como puedo localizarlo? Yo le doy mi email en este comentario y Accedo a dárselo como cada vez que accedo a donde me da la gana... Pero ademas yo le doy mi numero de colegiada, mi direccion y le especifico (si quiere, por no quitarme a mi, mi currelo, vamos) que significa ser estafador.
    ..es mas, Cómo saber que yo misma, mismamente y mi opinión no la va a utilizar él mismo con su mecanismo para llamarme a mi también estafadora??? Yo también demandaria porque las cosas...todas, no son gratis....y ahora esto se públicará...y se meneará y se subirá y se tuiteará ( se escribe así?? Yo no tengo.. De eso, pero carrera si, esa si de la de los libros de papel y eso...) y se promocionará.. Y bla bla bla, cacherreo....upss perdón.
    Los de derecho en la uni deciamos de los inform...cacharrreros...con cariño, vaya...upss Ud.perdone.

    ResponderEliminar
  7. @horrorizada, todas las apps que he citado - y de las que tengo copia a buen recaudo - tienen el mismo código para llevarse los datos personales y enviarlos a servicios de publicidad, "incluso sin consentimiento del usuario", como he mostrado y como documentaré en informes periciales.

    Son una estafa, porque no son ningún fallo de programación, sino que no hacen nada de lo que prometen y buscan ganar dinero a base de engañar a las víctimas. Creo que es la definición de la RAE.

    Repito que tengo copia de todas ellas y estaré encantado de entregarte los informes periciales de su funcionamiento.

    Además, los datos que se lleva no están registrados en la APD, ya que el IMEI no está declarado.

    Justificar lo injustificable es lo que tendría que darle vergüenza.

    Saludos "cacharreros".

    ResponderEliminar
  8. Pues yo creo, como los otros comentarios, que va el usuario y le da el permiso total de su dispositivo, derecho de pernada y el primogénito hijo barón... pero si es consentido... Pues poco se puede hacer. Claro que seguro que el tío vende los datos, pero eso lo hacen todos y aquí paz y después gloria.

    No sé, está bien que se hagan de vez en cuando estas cosas para concienciar a los más ignorantes, pero creo que si el "estafador" no fuera un mindundi, sino google, microsoft o la cope, tendría dinero para un juicio largo y las acusaciones tuyas de que "no hacen lo que deberían o prometen" serían complicadas de probar, con y sin prueba pericial y además... depende tanto del juez y le estás hablando en chino, con lo que depende de cómo expongan y "habilidades" de los abogados, con lo que vamos de nuevo al tema del dinero.

    ¿Has visto lo que pide Guasap para enviar una mierda mensajes? ¿Y sus draconianas cláusulas? ¿Y las de Feisbuk?

    Pues a esos también habría que denunciarlos.

    Claro que después sale uno de Feisbik diciendo que no utulizarán tus fotos personales para anuncios... sí, pero por lo pronto tienen una cláusula que se lo permite...¡qué la quiten!

    Por favor, escribe artículos también sobre las cláusulas draconianas de microsoft (donde cuando compras un programa de ellos no tienes todos los derechos sobre ese SW, ni siquiera aunque hayas pagado por él es tuyo), las de Facebook, Tuenti, Twiter etc etc.

    Bueno, si quieres no hables de las de Tuenti o Microsoft, que ya sé que te supondrían algún inconveniente jajaja

    ResponderEliminar
  9. Pues nada, la página http://usatek.eu que esta mañana existía ha seguido el mismo camino que el perfil de Linkedin...

    Desde luego el río sonar suena... ;)

    ResponderEliminar
  10. Y ya puestos, también han quitado de Google Play las aplicaciones de "Androcia"... o ha sido el desarrollador o ha sido Google...

    ResponderEliminar
  11. @Anónimo "draconiano". Las apps de este tipo, que hemos analizado y documentado, estafan porque no están diseñadas para hacer lo que prometen. Es un engaño al usuario para conseguir dinero con sus datos y conexión a Internet ergo es una estafa.

    Lo de los permisos draconianos para hacer lo que dicen que hacen es otro cantar. Cualquier persona o juez, lo entenderá. Créeme.

    Es tan evidentemente toriticera esta comparación que has hecho como el comentarios tuyo de "horrorizada", que estoy pensando en borrarlos porque creo que son de una campaña de reputación en Internet contratada a una agencia.

    Ya sabes, esas empresas que los mafiosos de la red contratan para enturbiar los mensajes y hacer contra-SEO para poner en debate los hechos. Si yo te contara lo que he visto hacer a malos...

    Al próximo comentario así voy a borrar los comentarios que crean que son de este tipo, para que no se enturbie para nada el SEO del mensaje de este Post.

    Saludos!

    ResponderEliminar
  12. Chema, no te calientes que la comparación no es torticiera.

    Te resumo el comentario porque me da la impresión que no la has entendido:

    Es muy bueno que le des publicidad a este tipo de actuaciones ya que son perjudiciales, pero me gustaría que no se quedara contra pequeños desconocidos sino también contra grandes empresas que tienen actuaciones similares.

    Y el "estafador" no es el único responsable, los humanos que aceptan también, porque muchas veces están expuestas en contrato en forma de EULA y a no ser que sean discapacitados legalmente tienen la responsabilidad de aceptalo.

    Por otra parte sobre el SEO y borrar los comentarios... es tu blog, lo que veas. Ahora, si no te gustan las opiniones de otros puedes moderarlas y censurarlas claro, pero conociendote no lo vas a hacer.

    ResponderEliminar
  13. Buenos días soy Horrorizada1..aquí desde mi casa. Borre lo que quiera así queda patente la censura cacharrera " que ejerce.
    Soy una asesora fiscal, un pelin naveganta y lo que yo quisiera conocer es insisto si puefde dar clase a mis alumnos de materia tributaria tambien.
    Yo insisto demandaria por la via civil pq supongo q ud. ya conoce q la carga de la prueba reside en quien calumnia.
    Y eso a falta de sentencia judicial y es una calumnia..
    Agencia?? Si la de mortadelo.
    Ale ahora vaya Ud y borre... Censor jurado.
    Se despide horrorizada1.
    Que tiene una vida q atender.
    Pd... Espero que le demanden...y espero que el afectado"...contacte y le ponga a Ud en su sitio...q es lo que yo haría.

    ResponderEliminar
  14. @Horrorizada1, no te preocupes, años como perito judicial me han enseñado a hacer un informe para un juez. Por ello tenemos el 100 % de las apps guardadas y analizadas, para que aunque este tipo intente borrar sus huellas - como ya está haciendo - no se vaya de rositas.

    Saludos!

    ResponderEliminar
  15. ¿Y una vez escrito el blog, de dónde nace la necesidad de castigar, humillar, ¿insultar?, y ejercer de juez y parte con el desarollador?

    Vamos a ver, el colega será un canalla, ha ido a buscar como hacer dinero rápido, tú lo has encontrado y has sacado un post. ¿Qué más quieres? El colega supongo que ya ha aprendido, se ha equivocado y se esconde en su cueva tras el error. Pues aquí pazz y después gloría.

    Que está muy chulo decir lo estupendo y maravilloso que tienes los informes, y lo bien que los embadurnas con miel para darselos al juez y que se trague palabra por palabra de lo que estás diciendo, ¿pero es necesario joderle la vida al colega? No veo que hayas perseguido a alguno que ha publicado en tu blog como robar datos de un hotel (luego comunicandolo en recepción pero cometiendo un posible delito), o el mismo haciendo sniff a los datos de whatsapp... Vamos, supongo que tmb tienes un peritaje y vas camino del judgado ¿O no todos son iguales antes los ojos de chema?

    #justicia #todosiguales #amosnomejodas

    ResponderEliminar
  16. @anónimo, ni se ha escondido en su cueva ni nada similar. De hecho, este post viene porque como se dice en el, tras decir que una de sus apps estaba robando datos nos amenazó. Debido a ello, hemos querido hacer todo el informe completo y prepararnos para hasta donde quiera llegar. Eso es todo. Este post es para dejarles claro que sus amenazas no han funcionado.

    Saludos!

    ResponderEliminar
  17. Chema, gracias por todas las entradas que publicas.
    Yo si elegi "Seguridad" en la Ingeniería(de la cual me acabo de examinar) y solo quería darte las gracias por que cada día aprendo algo nuevo.
    Sobre el tema abierto, creo que has dejado más que demostrado lo que es y lo que hace el autor de esas "app", no te esfuerces en luchar contra los que parece que están ciegos y sigue tu y tus compañeros con este infatigable trabajo.
    Este mundo informático se ha convertido en un Juego de Tronos, solo hay engaños y mentiras.

    ResponderEliminar
  18. Cuántas falacias en los anónimos, que otros pidan más datos que los que deben no hace que lo de estas apps sea legal, justo o pasable. Si yo me bajo una aplicación para ver redes wifis, y lo que hace es ponerme una animación, no dejarme ver esas redes y sacar datos de mi teléfono que no he consentido en dar, se llama estafa. Sacan un beneficio a mi costa sin darme el servicio prometido. Si yo al camarero le pido un cubata, me pide el DNI, se copia los datos y no me da el cubata pero me lo cobra, es la misma estafa, no es muy difícil de entender. Por cierto, qué falsos suenan aquellos que se hacen pasar por asesores y no saben ni escribir bien.

    ResponderEliminar
  19. iane, ya veo que el problema que tienes tú es de entendimiento y educación. Crece cariño.

    ResponderEliminar
  20. Gracias Chema, que buena investigación la que nos compartiste.

    ResponderEliminar
  21. La que se avecina31/5/14 6:22 p. m.

    Chema: "años como perito judicial me han enseñado a hacer un informe para un juez"

    Seamos mas serios y dejemos de una vez aquello de quien la tiene mas grande.

    Los informe periciales eran realizados en su mayoria por "Juan Luis Garcia Rambla". Ok.

    No discuto tu profesionalidad, pero si el aquello "la tengo mas grande"

    De paso como consejo fijate o deberias de preocuparte mas en la "grupos de cierta gerencias" que tienes en Telefonica externos denominados seguridad llamados "InnoTec System capitaneado por Felix y su amigo el venezolano (alias anonymous), porque eso si sera un problema para ti cuando salga a la luz. Es un consejo y no es broma.

    ResponderEliminar
  22. Cuanto cobran los anónimos que defienden al estafador?? XD. Al final o se controla el código de las aplicaciones antes de publicarlas en el market o este tipo de gente proliferara, con que este unas semanas o días en marcha antes de retirarla ya la sacarían rendimiento.
    Animo y a por los malos chema!

    ResponderEliminar
  23. Estupendo post Chema, creo que los de Play Store deberían de ser mas exhaustivos.

    Gracias.

    ResponderEliminar
  24. @La que se avecina. En i64 mucha gente hizo informes periciales, que había mucha gente buena en la casa. Ir a juicio a estar delante de un juez ya fue una cosa que hicimos menos.

    Siento que el comentario haya caído en el spam y te haya parecido que te lo había borrado.

    Saludos!

    ResponderEliminar
  25. Pero el problema es que cualquiera puede publicar una aplicación en Play store con un control (si es que hay) muy bajo. Entonce si lo que quieren es librarse de este tipo de apps es que google lo controle mejor, el que sale ganando es el usuario. Mira como en el Appstore de Apple son mucho menos comunes este tipo de aplicaciones.

    ResponderEliminar
  26. @Horrorizada cuantas tonterias dices, asesora fiscal defendiendo el robo de datos privados??? mandanos los tuyos y luego paz y despues gloria, no me creo nada de ninguno de tus comentarios anonimos,
    Saludos de un aprendiz de cacharrero

    ResponderEliminar
  27. Soy asesora fiscal

    Con todos mis respetos, viendo como escribes (muchas frases son directamente ilegibles), lo dudo mucho.

    A mi me parece que, dada la defensa que has realizado, más bien estás implicada de alguna forma en el desarrollo de esa estafa.

    ResponderEliminar