Vídeo de la Mesa Redonda de Ciberestafas en OpenExpo Europe 2022

Una de las mesas redondas más interesantes de OpenExpo Europe 2022 fue la que protagonizaron cuatro profesionales de la investigación en ciberseguridad. Especialistas en peritajes tecnológicos en casos de cibercrimen, y ciberestafas. Fue una mesa redonda dedicada, en este caso, a las ciberestafas, y la he subido a mi canal de Youtube para pue la puedas ver.

Figura 1:Vídeo de la Mesa Redonda de Ciberestafas en OpenExpo Europe 2022

Fue una mesa de debate en la que cuatro grandes profesionales de la ciberseguridad, como son Juan Carlos Galindo - autor de libro de "Ciberestafas: La historia de nunca acabar", Carlos Seisdedos, autor del libro de "Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet", Jorge Coronado y Marta Barrio, hablaron de cómo se producen y cómo se investigan estas ciberestafas.

Figura 2: Mesa redonda ciberestafas en OpenExpo Europe 2022 con

Juan Carlos Galindo, Jorge Coronado, Marta Barrio y Carlos Seisdedos

El vídeo de la presentación lo tienes aquí mismo, y si te interesa este tema, tienes como recomendación especial los libros de "Open Source INTelligence (OSINT): Investigar personas e Identidades en Internet", "Cómo protegerse de los peligros en Internet", "Técnicas de Análisis Forense Informático para Peritos Judiciales Profesionales"  y de "Ciberestafas: La historia de nunca acabar".

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Ciberestafas: La historia de nunca acabar. El debate en la presentación del libro

El pasado 31 de Mayo nos juntamos en el CEDEU un grupo de amigos para acompañar a Juan Carlos Galindo en la presentación de su libro "Ciberestafas: La historia de nunca acabar" que ha publicado en la editorial 0xWord y donde destripa concienzudamente este mundo que nos rodea hoy más de lo que nos podemos imaginar.

Figura 1: Ciberestafas: La historia de nunca acabar.

El debate en la presentación del libro

En la presentación, estuvimos el juez Eloy Velasco de la audiencia nacional, que además estará como ponente en la próxima OpenExpo Europe 2022, el Inspector de Policía Nacional Javier Rodrigo, Carmen María García, presidenta de la Woman's Week, Salvador Molina, presidente de Madrid FinTech y Foro ECOFin, y yo mismo, para hablar de este mundo, y del libro de Juan Carlos Galindo.

Figura 2: "Ciberestafas: La historia de nunca acabar" por Juan Carlos Galindo en 0xWord.

Éste es un libro que tiene más de 280 páginas, y que se pueda leer disfrutando de un café o de un rato de relajación en cualquier lugar en el que tengas quince minutos o una hora. Sin necesidad de tener el ordenador delante y que sirve para dar difusión al enorme abanico de estafas con las que puedes encontrarte en la web.

Figura 3: Índice del libro "Ciberestafas: La historia de nunca acabar" por Juan Carlos Galindo en 0xWord.

La presentación, que duró un poco más de una hora, puedes verla ahora en mi canal Youtube, donde la he subido, y podrás disfrutar de las explicaciones del gran Eloy Velasco, que su intervención es digna de enmarcar. Y luego, el desgrane de los temas que abarca este libro explicados por el resto de nosotros.

Figura 4: Presentación del libro Ciberestafas: La historia de nunca acabar

Este libro de "Ciberestafas: La historia de nunca acabar" no solo recoge cómo se realizan las ciberestafas más modernas cometidas por los estafadores, sino que también deambula por el pasado del fenómeno para entender su calado social y psicológico. Describe con precisión las decenas de tipologías de fraudes y estafas reales, para poder identificarlas en la vida cotidiana. También nos cuenta con claridad, cuáles son las medidas más eficaces para su mitigación, tanto en el entorno de la empresa como el particular, así como los sistemas de prevención más eficaces.

Figura 5: Contactar con Juan Carlos Galindo

El autor del mismo es Juan Carlos Galindo, que experto en prevención de blanqueo de capitales y financiación del terrorismo, además de haberse formado en las áreas de seguridad informática que tiene que ver con el cumplimiento regulativo y la protección de datos. Ha ejercido y ejerce como perito judicial en investigaciones de delincuencia económica, y está especializado en blanqueo de capitales y ciberdelincuencia, haciendo también labores de investigación.

El contenido del texto es de lo más divulgativo y entretenido, ya que no solo explica las estafas que se utilizan sino, gracias a su amplia experiencia en primera persona Juan Carlos Galindo lo narra con excepcional precision. Os dejo el índice del libro, en el que yo me he animado a hacer un pequeño prólogo y el Sr. D. Eloy Velasco Magistrado-Juez de la Audiencia Nacional, ha hecho el epílogo. 

Figura 6: Publicar tu libro en 0xWord para Perfiles Públicos de MyPublicInbox

Por último, hemos abierto esta línea editorial a todos los Perfiles Públicos de MyPublicInbox, así que si eres uno de ellos, y tienes interés en publicar un libro en 0xWord Brain, puedes solicitar a través de MyPublicInbox, en la zona de "Servicios par ti" de "Mi Perfil", más información del proceso y los compañeros se pondrán en contacto contigo para evaluar tu propuesta.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Los monstruos de Halloween que llaman a tu puerta

Si echo la mente atrás, la cantidad de veces que me he disfrazado es enorme. De casi todo. Pero es que dar charlas haciendo algo divertido ha sido una de las grandes motivaciones para subirse a un escenario que he tenido en mi vida. Y subirse disfrazado suele ser un buen planteamiento de cómo hacer la charla.  No os las dejo en el artículo de hoy porque podéis buscar en Internet y encontrar fotos de todo tipo. 

Figura 1: Los monstruos de Halloween que llaman a tu puerta

También he visto a algunas personas disfrazadas de Chema Alonso, porque al final soy facilón para imitar. Dos camisetas, vaqueros, zapatillas rojas, gorro azul y marrón, y pelo largo por debajo. Done. No hay mucha complicación. Y yo hoy me volveré a disfrazar, con máscara, y lo mismo hasta la uso para hacer el Tiktok que quiero hacer - que ya han pasado muchos días sin hacer uno  -. Ya veremos en un rato.

Ver esta publicación en Instagram

Una publicación compartida de Chema Alonso (@chemaalonso)

Lo curioso de este día es que las personas normales se disfrazan de monstruos, cuando el resto del año los monstruos se disfrazan de personas normales. Un día en el que los monstruos van llenos de color por la calle. Colores llamativos para atraer las miradas de todos. Es un poco como el correo legítimo, las newsletters y el spam. Cuantos más colores tengan en el mensaje más monstruoso es el mensaje.

Figura 3: Emoticonos en los Monstruos con lentejuelas de Halloween que llegan por Spam

Basta con que vayas a tu carpeta de SPAM y eches una mirada a los colores que puedes leer en los nombres de los remitentes y en el asunto de los mensajes. Emoticonos coloridos que compiten por tu mirada, pero que no dejan de ser una muestra de cuánto de peligroso y monstruoso es ese e-mail que has recibido. 

Figura 4: Mi monstruo de Hallowen de este año me quiere regalar un iPhone 12 Pro

Pero recuerda, a estos con colores se los reconoce fácil. Van disfrazados de monstruos y se les ve venir. El problema son el resto del año, donde los monstruos van disfrazados de personas normales o de amigos que te van a regalar un iPhone 12 hoy, la noche de Halloween. Los mensajes de e-mail de los verdaderos  monstruos parecen inofensivos el resto del año, son sobrios mensajes de gente mundana. Cuídate de ellos más que de los monstruos de brillantina y lentejuela de Halloween, que son estos que no ves venir los que deben traerte mayor miedo....

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Los ataques por SMS al HACKER CHEMA ALONSO de phishing y estafas

Los ataques por SMS de phishing y estafas no son nuevos. Tienen ya un buen montón de años, pero es cierto que, lógicamente, se migraron a sistemas más fáciles y económicos de viralización, como son el correo electrónico, o las plataformas de comunicación OTT (Over The Top) como son Facebook, Instagram, WhatsApp, Twitter, Telegram, etcétera, que mediante el robo de tokens OAuth se pueden hacer muchas de estas cosas, como contaré en mi charla de HBSCON.

Figura 1: Los ataques por SMS al HACKER CHEMA ALONSO de phishing y estafas

Pero hoy quería hablaros de uno de esos casos curiosos, con un detalle que quería compartir con vosotros donde se ve cómo lo han hecho, y del que me he acordado por mi amigo Rafa me llamó ayer para decirme que qué hacía con algo así que le había llegado. Así que os lo dejo hoy aquí. Veréis, este es el mensaje SMS que recibí de un número que no tenía en mi agenda.

Figura 2: El SMS hal HACKER CHEMA ALONSO

En él, sin embargo, en la parte donde el proceso automático ha tenido que rellenar mi nombre aparezco como HACKER CHEMA ALONSO, lo que lógicamente levanta todas las alertas nada más verlo. Al final, como podéis imaginar, alguien ha conseguido acceder a la agenda de teléfonos de alguien que me tiene dado de alta en su PhoneBook con ese nombre. Además, la persona que utiliza el número de teléfono del remitente tiene WhatsApp instalado en un terminal Android - no tiene iMessage asociado a ese número -. 

Figura 3: Malware en Android. Discovering, Reversing & Forensics

Así que, es un claro ejemplo de malware en Android que aprovecha las tarifas de SMS de un terminal comprometido para hacer otro tipo de negocios sucios desde él. Un cibercriminal utilizando el end-point infectado al viejo estilo para hacer su agosto - o septiembre -.  Avisad a la gente de estas cosas para que no hagan clic bajo ninguna circunstancias.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

La estafa de los Falsos Brokers que van a hacer que te forres con Amazon o Tesla y el Growth Hacking en Twitter con tus apps móviles gratuitas

Si el otro día os hablaba de una pregunta que me entró por mi buzón en MyPublicInbox de cómo una persona estaba siendo monitorizada por que en un descuido alguien consiguió compartirse la ubicación de iPhone por iMessage, hoy os traigo otra estafa de la que me han llegado como alrededor de diez consultas por el mismo buzón. Se trata de la estafa de los falsos brokers que van a hacer que ganes mucho dineros invirtiendo en Amazon, Tesla, u otra empresa similar.

Figura 1: La estafa de los Falsos Brokers que van a hacer que te forres con Amazon o Tesla y el "Growth Hacking" en Twitter con tus apps móviles gratuitas

Mucho se ha hablado de la estafa de los BitCoins, y cómo utilizan la imagen de personas famosos para engañar a las víctimas. Yo me he visto utilizado muchas veces como gancho de esa estafa, y por eso escribí un artículo para que quede claro que "No, Chema Alonso no se está forrando con BitCoins" como dicen las campañas de Malvertising que lanzan en Facebook, Instagram o Twitter. Pero de la que voy a hablaros hoy hay un poco menos de información, y me han llegado ya muchas víctimas contándome su situación.

Figura 2: Ultimo mensaje que me entró por mi buzón en MyPublicInbox

con una nueva víctima de la estafa de los Falsos Brokers.

En definitiva es la misma estafa, pero esta vez hecha con la imagen de Amazon o Tesla o cualquier otra gran compañía que en la cultura popular esté muy metida como exitosa, y me sorprende que no están persiguiéndolo mucho. Entiendo al final que Amazon y Tesla, que son empresas cotizadas en bolsa no pueden estar en contra de lo que dicen las campañas que utilizan. 

Figura 3: El Selector de la Avaricia. Mete 20.000 € que ganarás 102.624 € en dos meses máximo.

O lo que es mismo, mete 20.000 € y en dos meses lo multiplicas por 6.

Es decir, que invertir comprando acciones en esas empresas te puede dar grandes retornos de dinero, pero lo cierto es que lo que prometen estos Falsos Brokers, es directamente falso, y si caes en sus manos no vas a invertir nunca en bolsa, pues son empresas falsas que capturan tu dinero y te sacan todo lo que puedan.

Figura 4: Campañas de publicidad en medios nacionales de gran tirada

Contratan campañas de publicidad y marketing que meten en los principales diarios de los países, como contenido patrocinado, utilizando la imagen de estas compañías. Este es un ejemplo de Amazon en un periódico online nacional en España. Por supuesto, cuando vas a la web, lo que hay son testimonios falsos y datos falsos, utilizando cuentas que no existen.

Figura 5: Testimonios publicados en la web de los falsos brokers

En este ejemplo puedes ver que utilizan una cuenta de Twitter con el testimonio de una persona, pero no es verdad esa cuenta no existe o ha sido eliminada por ser fraudulenta. Siempre es la misma idea. Invertir en malvertising, utilizar testimonios para ganar confianza - como hacen en la estafa de los BitCoins o la estafa de los Hackers para espiar WhatsApp for Hire -, y conseguir el lead para luego trabajarse a la víctima por e-mail o por teléfono, al más puro estilo "Tocomocho".

Figura 6: La cuenta del "Rey Hakim" no existe.

 (¿Has visto el Principe de Zamunda? Cachondos...)

Eso sí, todo es legal, porque son empresas en el otro lado del mundo y en la letra pequeña de los contratos que firmes ya te pone que puedes perderlo todo, que no están obligados a devolverte el dinero, etcétera, etcétera, así que, si no te has leído la letra pequeña no tendrás nada que hacer en ese paraíso fiscal al que vas a enviar tu dinero.

Figura 7: Letra pequeña de la campaña de marketing que ves en la web

Los contratos no los ves en la web, y tendrás que esperar a que ellos, cuando tengan tu información y estén convencidos de que vas a darles el dinero, te los pasarán. El texto que ves en la Figura 7 es de la campaña de marketing que hace otra empresa, separada, de los Falsos Brokers, para curarse también en salud de las denuncias que llegarán.

Falsos Brokers y Growth Hacking

En este otro caso de aquí, de esta misma semana (aún activo) , me llamó la atención que la campaña de malvertising se  hiciera directamente desde una cuenta de Twitter, que además se llama Top Business (13). Cuando la vi, llama la atención que se ha abierto a finales de Junio de 2021 y que solo sigue a 13 cuentas - ninguna de los creadores de esa supuesta empresa - y tenía ya más de mil seguidores.

Figura 8: Campaña de Falsos Brokers por Twitter

Si miramos a quién sigue, está claro que busca posicionarse como una cuenta corporativa, siguiendo al Presidente Biden, a Tesla, a Elon Musk, a Forbes, etcétera. Todo lo que a una víctima le pueda dar el olor de "dinero" o "poder", pero si vemos a los seguidores, la cosa cambia. 

Figura 9: Siguiendo "Dinero" y "Poder"

Entre los followers ay una lista de un montón de personas que estaba seguro de que no seguían esa cuenta por interés propio. Así que busqué a uno de los seguidores para hablar con él y le pregunté directamente si él seguía esa cuenta por algo, ya que me olía cómo habían conseguido los seguidores.

Figura 10: Constatando el Growth Hacking con tokens OAuth

Como era de esperar, la respuesta era clara: No tenía ni idea de cómo la había seguido. Así que, como era evidente, han comprado seguidores a alguna empresa que tiene apps de Twitter con Tokens OAuth capturados por medios de apps móviles.  En su caso, la única app que tenía un token OAuth válido no caducado era Steroload, que se dedica a hacer Growth Hacking para bandas de música, y parece ser que para cualquier postor - incluso Falsos Brokers -.

Figura 11: Apps con Tokens OAuth de Twitter válidos

de la persona forzada a seguir a TopBusiness13

Es decir, te descargas una app gratuita, te piden que te autentiques con Twitter, autorizas la app de Twitter, y se llevan el token OAuth - como explicábamos en el ejemplo de Sappo para Twitter -. Normalmente estas apps gratuitas capturan estos tokens para vender likes, followers, o similares a gente que desea crecer en relevancia en cualquier plataforma - es su negocio - pero una vez que tienen el token OAuth de Twitter, ya pueden hacer lo que quieran, como hacerte seguir a una cuenta fraudulenta para dar confianza a las nuevas víctimas. 

Figura 12: Resumen de las pruebas de seguridad del

Asistente de Seguridad de Twitter en MyPublicInbox.

Esta es una de más de veinte características de fortificación de cuentas Twitter que se recomiendan en el asistente de seguridad de Twitter que hicimos en MyPublicInbox que puede utilizar cualquier usuario de la plataforma. Así que, si no quieres ser parte de este tipo de estafas, revisa qué apps de Twitter tienen tokens OAuth con el que pueden controlar tu cuenta.

Figura 13: Buscando en Tacyt "sospechosos" de capturar tokens OAuth

Alberto se acordaba de haber instalado alguna app de SoundCloud que hacía algo por Twitter, así que decidí irme a mi querido Tacyt y hacer un poco de dorking para localizar apps que tuvieran que ver con SoundCloud y pidieran autorizar tokens de OAuth. Un sencilla búsqueda y aparecieron un par de ellos.

Figura 14: Links de Twitter para capturar tokens OAuth

Como se puede ver, en los enlaces que tienen estas apps se puede ver cómo hacen uso de las APIs de Twitter para autenticar apps de Twitter y capturar los Tokens OAuth. Así que, cuando te bajes una app móvil gratuita, piensa cuál es su posible modelo de negocio.

Conclusión

Nadie da nada por nada. Casi todas las apps móviles tienen un modelo de negocio. Si no sabes cuál es... puede ser malo. Los Tokens OAuth que te piden apps móviles gratuitas son por algo - y puedes acabar siendo parte de algo así -. 

Figura 15: Cómo protegerse de los peligros en Internet
de José Carlos Gallego Cano

Y si un broker puede convertir 20.000 € en 120.000 € en dos meses... ¿para qué gastar dinero en publicidad para hacerte ganar dinero a ti? ¿De verdad?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Guardia Civil lanza la Operación Rikati contra las estafas de mensajes SMS Premium en apps maliciosas de Android

El Departamento de Delitos Telemáticos de la Guardia Civil ha terminado la primera fase de la investigación contra las estafas en el mundo de las apps móviles que suscribían a las víctimas a servicios SMS Premium, con costes de hasta 30 € al mes utilizando muchos trucos. El principal de ellos, usando las técnicas de las app Gremlins tan utilizado por el malware en Android.

Figura 1: Guardia Civil lanza la Operación Rikati contra las estafas de mensajes SMS Premium en apps maliciosas de Android

En ElevenPaths hemos estado muy metidos en este tipo de investigaciones desde que comenzamos a trabajar en TACYT, nuestra plataforma de inteligencia en el mundo de las apps móviles, y hemos analizado en detalle muchos casos como el de la Linterna Molona, viendo cómo utilizaban tus propias apps de mensajería para suscribirte a números SMS Premium. En esta conferencia, explico algunas de ellas.

Figura 2: Investigación en el malware de Android con Tacyt

El número de referencias sobre este tema en el blog es alto, así que si te interesa ver cómo funcionan, te dejo algunos artículos que puedes leer:

- La estafa de la linterna molona que alumbra más
- Malware usa WhatsApp, Telegram y ChatON para suscribirte a SMS Premium
- Apps que te pueden robar el WhtasApp por tener Telegram
- Crappware en Android se mueve pero no desaparece
- Shuabang Botnet en Google Play
- La venta de Apps al cibercrimen convierte tus apps en Gremlins malos
- Descurbrir apps Gremlin en Android con la caché de Google
- Fake AV en Android: Instalar un antivirus en Android puede ser muy peligroso
- JSDialers: Apps malware made in Spain que llaman a números de pago
- JSSMSers: Apps malware made in Spain que suscriben a SMS Premium
- Apps dedicadas al Click-Fraud en Android

Como veis, el número de investigaciones que hicimos en el mundo del malware es amplio, y estas investigaciones se compartieron con los cuerpos de seguridad, así como con las empresas de software implicadas. La Guardia Civil tras investigar todos estos actos ha hecho una Operación, denominada Rikati, , y ha realizado acciones en esta primera fase de la operación contra tres empresas españolas que estaban involucradas y que han estafado hasta un total de 30 Millones de Euros con este negocio de subscripción a SMS Premium mediante apps maliciosas.

Figura 3: El comandante Juan Sotomayor, Jefe del Departamento de Delitos Telemáticos
de la Guardia Civil presentando los resultados de la operación Rikati.

Ahora el Departamento de Delitos Telemáticos de la Guardia Civil ha puesto una página web en la que los clientes que haya sufrido cargos en su factura por estos mensajes SMS Premium no deseados, pueden comprobar si han sido inducidos por alguna de las apps o números de teléfono implicados en esta operación. Puedes comprobarlo en esta web abierta en Internet.

Figura 4: Página web para ver si estás afectado por la estafa de Rikatti

Por desgracia, tenemos que ver a cibercriminales haciendo este tipo de negocios constantemente, así que lo mejor es que si tienes un terminal Android, además de mantenerlo completamente actualizado, evites la instalación de apps gratuitas de dudosa procedencia, y que pongas un antimalware profesional con protección en tiempo real para vigilar el comportamiento de tu sistema.

Si quieres saber más sobre cómo investigar estos casos, te recomiendo encarecidamente el libro de 0xWord "Malware en Android" donde se explican muchas de las cosas que usamos para hacer estas investigaciones.

Saludos Malignos!

"Prison Break: Escape" en Google Play también es BadWare

Ayer denunciaba nuestro compañero Sergio de los Santos la existencia de nuevas aplicaciones del clicker en Google Play, del que ya hemos hablado en el pasado. Sus apps son todas fake apps que buscan engañar al usuario para que se las instale y luego consumir todo su ancho de banda en el terminal - o toda su tarifa de datos - en un esquema de Click-Fraud con anuncios publicitarios del mundo del porno, un clásico esquema de Fraude Online llevado al mundo de las apps móviles.

Figura 1: "Prisión Break: Escape" en Google Play también es Badware

Este hombre, o grupo de personas, es la cuarta vez que es detectado haciendo este tipo de actividades, y con este post de hoy aún hemos sido capaces de localizar alguna más que aún está activa. Tras las 32 primeras apps que localizamos en Eleven Paths - y el estudio más detallado que publicamos - los investigadores de AVAST y de ESET localizaron nueva apps de este tipo, utilizando como gancho DubMash 2 - con una app que solo mostraba fotos - que utilizaban los mismos servidores que usó en la primera campaña de Febrero, así que no parece una infraestructura hackeada puntualmente sino algo montado con un objetivo concreto.

Figura : Fake App de Dubsmash v2 que solo muestra fotos (y hace Click-Fraud)

Los dominios de la infraestructura, como ya os conté, están registrados a nombre de un correo de un desarrollador de apps turco que incluso tiene asociada una cuenta de Facebook - siguiendo una de las malas prácticas que citaba yo a la hora de subir apps, pero en este caso para registrar servidores que van a hacer cosas malas.

Figura 3: Cuenta Facebook asociada a e-mail de registro Whois de servidores usados para Click-Fraud

En la lista que publicó ayer nuestro compañero Sergio de los Santos, había 24 apps que habían sido descubiertas por medio de nuestra plataforma Tacyt, creando búsquedas de singularidades con las nuevas muestras descubiertas.

Figura 4: Las 24 apps descubiertas en esta nueva campaña

Muchas de ellas simulan ser juegos y lo único que muestran son fotos mientras que por debajo realizan la estafa. Muchos de los comentarios de los usuarios que la instalan - lejos de pensar que están infectados, solo se quejan de que hay fotografías. 

Figura 5: Comentarios sobre falsa Temple Run 3 en Google Play. Activa hasta ayer.

Pero no solo esas apps son maliciosas, como ya conocéis, una vez que se detectan apps la verdadera potencia de Tacyt es crear filtros con las singularidades de estas apps y localizar nuevas muestras que vayan apareciendo y que pertenezcan a la misma familia. Así fue como cuando revisé yo por la tarde la lista de apps apareció aún otra más que no habíamos descubierto porque había sido modificada por la mañana en Google Play. La app simula ser Prison Break: Escape.

Figura 6: Prison Break: Escape es una fake app que también forma parte de la campaña de click-fraud

La app utiliza el mismo truco, simular ser un juego relativo a la serie, para de nuevo solo mostrar fotografías, generando de nuevo el cabreo entre los que se la descargan. Pero, por detrás, sigue siendo una aplicación de la campaña de este clicker. Este gancho hará caer a los fans de la serie, al igual que si lo hubieran hecho con TRON hubiera podido caer yo mismo, que TRON está, dónde está mi corazón.

Figura 7: Mismos comentarios en los primeros que se la descargaron

Figura 8: Fechas de la app. Fue creada el 21 de Julio y el apk final el 27 de Julio de 2015

Visto todo esto, parece que está en plena campaña de generación de dinero a través de Fake Apps, por lo que iremos actualizando el artículo con al lista de nuevas apps que descubramos con Tacyt. Al mismo tiempo está claro que los controles de Google Play no están siendo ninguna barrera para él. Ten cuidado con la que instalas en tu Android.

Saludos Malignos!

32 apps de Click Fraud en Android alojadas en Google Play

Esta semana pasada, desde el laboratorio de Eleven Paths en Málaga, se ha descubierto, denunciado y publicado a una red de apps clickers maliciosas para Android que se comen tu ancho de banda y tu tarifa de datos completa para hacer un negocio de Click-Fraud y sacarse unos Euros a costa de tu conexión. Es decir, una pequeña botnet de al menos 32 apps que se volvieron maliciosas para comerse el ancho de banda de miles de infectados y conseguir beneficios con el mundo de la publicidad.

Figura 1: 32 apps de Click Fraud en Android alojadas en Google Play

Esquemas de Click-Fraud

Los esquemas de Click-Fraud no son nuevos, y en el mundo del Fraude Online han sido portados a los dispositivos móviles desde las primeras botnets de equipos personales, donde comenzaron hace ya muchos años. Las empresas de publicidad buscan cómo detectar y bloquear estos esquemas, y por tanto los ciberciminales dedicados a este negocio cada vez buscan formas nuevas de hacerlo. 

Al final el objetivo para hacer un esquema de Click-Fraud es que alguien se dé de alta en un sistema de publicidad que pague por cada visita que se consiga a los anunciantes. A partir de ese momento, lo que debe conseguir para ganar dinero es que haya muchos clics en los anuncios, simulando que son manuales, para que se le pague mucho dinero. Por supuesto, cuando se hacer un Click-Fraud, lo que pretende el cibercriminal es automatizar los clics sin el consentimiento del usuario, y saltándose los mecanismos de protección que tengan los servicios de publicidad, para de esta forma recibir los beneficios como si hubieran sido personas las que visitaban esos anuncios.

Figura 2: Esquema de funcionamiento de una estafa de Click-Fraud

En el mundo de los dispositivos móviles, lo que se suele hacer es conseguir una app maliciosa que, sin que el usuario lo vea, está visitando constantemente enlaces patrocinados, que son cargados en Webviews ocultas al usuario, produciendo colateralmente un consumo de ancho de banda y un consumo de tarifa de datos, que en situaciones de roaming puede llegar a ser un auténtico problema económico. En el mundo de iOS, hace no mucho tiempo vimos como en Cydia se había colado un adware que hacía click-fraud, y en Android lo hemos visto muchas veces, como es el caso del fraude que hemos localizado en Google Play estos días atrás.

Descubrimiento e investigación de las apps maliciosas con Path 5

En Eleven Paths contamos con Path 5, un sistema que sirve para descubrir apps sospechosas que deban ser analizadas en detalle y que nos ayudan a encontrar actividades maliciosas como ShuaBang Botnet  o analizar las apps que hay en los markets para saber qué podemos encontrar en sitios como Mobogenie o qué tipo de fake apps hay en Google Play. Todo ello junto con la característica de archivar todas las apps para poder analizar cualquiera de ellas con calma.

Para ello se cuenta con un avanzado sistema de filtros que permiten detectar anomalías en apps que capturen la atención de los analistas de seguridad de las empresas. En este caso, la primera app que llamó la atención de nuestro equipo fue ésta, que supuestamente debe ser un mando remoto para controlar desde Android tu televisor por medio de la tecnología de Infrarojos. Sin embargo, esta app carecía del permiso necesario para controlar los Infrarojos, que en Android es TRASMIT_IR, además de tener un tamaño de solo 300 KB, por lo que cayó en uno de nuestros filtros de detección de apps sospechosas.

Figura 3: Supuesta app para controlar el TV desde Android

Tras un análisis detallado que os explico en el siguiente apartado, se pudo comprobar que era un app clicker, es decir, para hacer estafas de Click-Fraud, y por tanto había que ver si existían, como así fue, más apps del mismo cibercriminal ocultas bajo otros nombres o bajo otros desarrolladores, como suele ser habitual.

Utilizando Path 5, es fácil al final hacer un patrón para localizar todas las apps que ha subido esta persona desde finales de diciembre hasta la semana pasada, cuando denunciamos la última app a Google Play por ser fraudulenta. Todas ellas están creadas en la zona de GMT+2, correspondiente a parte de Europa, Turquía y África, tienen un tamaño muy pequeño (menos de 300 KB) y algunas pretendían ser una versión 2 de la app, sin haber existido una versión inicial. Esto ofrece una lista de apps posibles.

Figura 4: Algunas de las 32 apps clickers usadas en este esquema de fraude

Sobre ellas, analizando el contenido de los paquetes fue posible localizar un factor común en todas ellas utilizado en el código, así que obtuvimos las 32 apps que estaban siendo utilizadas para este estafa.

Figura 5: Más de las 32 apps clickers. Todas han sido tiradas de Google Play

Como se puede ver, las apps son muy llamativas visualmente y utilizan marcas muy conocidas para el mercado de los más jóvenes, como Ben 10, Talking Tom y juegos similares. Es decir, usuarios de "gatillo" fácil en el mundo de las apps gratuitas. En la lista, se puede ver la cantidad de nombres de desarrollador distintos que estaba utilizando. Como curiosidad, algunas de estas apps inicialmente habían sido subidas con otros nombres {en idioma Turco} y luego cambiaron a los nombres más llamativos para volverse maliciosas.

La estafa clicker técnicamente

En la parte de análisis del código, es fácil saber cómo hace el engaño aunque cuenta con un truco muy curioso. La app, que lógicamente con esos tamaños carece de cualquiera de las funciones que dice hacer cuando se ejecuta lanza un mensaje de error de compatibilidad, dejando creer al usuario que no se ha podido instalar por ser su dispositivo incompatible. Como se puede ver, dependiendo del idioma sale un texto u otro, pero siempre sale el error.

Figura 6: La app siempre simula fallar y da un mensaje de alerta avisando de ello.

El mensaje de error sirve para calmar al usuario, y la app parece que se borra, pero con una configuración específica en el manifiesto, lo que hace es borrar el icono y no volver a ejecutarse hasta el siguiente reinicio o hasta que haya un cambio en la conexión de la red. Una vez arranca el servicio, las apps se conectan a la URL sita en 1.oin.systems/check.php donde si reciben un valor TRUE se activa el modo de Click-Fraud de la app.

Figura 7: Uno de los dominios a los que se conectan las apps clickers

Para ello, las apps se conectan a otros dominios a recoger la lista de URL en las que deben hacer clic. Se puede ver una lista de las URLs que visitan las apps en pop.oin.systems/commands.php, uno de los dominios utilizados por muchas de estas apps clickers.

Figura 8: Lista de URLs a las que se debe ir conectando cada app clicker servidas desde un Web Broker

Todas esas URLs son cargadas en una webview que se pinta dentro de un layout fuera de la zona visible de la app, por lo que el usuario no es consciente de que su terminal móvil está todo el tiempo navegando y cargando las páginas webs de anunciantes de estos sitios.

¿Quién está detrás de esta estafa?

Encontrar quién está detrás de estas apps no parece ser muy complicado - o por lo menos según apuntan los indicios -. En una de las apps, haciendo el análisis de tráfico dinámico, es decir, arrancando la app en una conexión a Internet monitorizada por WireShark, se puede ver la conexión a un dominio  llamado OXTI.NET que también está entregando URLs de sitios que deben visitar las apps.

Figura 9: URL visitada para obtener una dirección a visitar con una app clicker

Para que veáis cómo funciona esta entrega de URLs de sitios a visitar, hemos hecho este pequeño vídeo que muestra como en cada petición se recibe una dirección de Internet distinta a visitar.

Figura 10: Vídeo demostrativo de cómo un Web Broker sirve las URLs a visitar

Accediendo al registro Whois de ese dominio, se puede ver que el sitio ha sido registrado con una cuenta de correo electrónico de Gmail, de una persona que tiene 178 dominios registrados a su nombre. 

Figura 11: Datos del registro Whois asociado a OXTI.NET.
Los contactos de registro, administrativo y técnico son el mismo.

Buscando esa dirección de correo electrónico en Internet, en Facebook, y visitando los dominios, se puede ver que pertenece a un desarrollador turco de apps para Android, que cuenta en ese mismo sitio con otras apps que no parecen ser clickers como estas. De hecho, este desarrollador cuenta con un blog de Android en Turco en el que habla a veces de apps maliciosas.

Detalles Finales

Dicho esto, no se puede garantizar 100 % que sea esta persona quién está detrás de esta red de apps maliciosas para hacer Click-Fraud, ya que podría ser solo un cúmulo de coincidencias y que le hubieran hackeado el servidor. Hace falta realizar una investigación de campo vía cuerpos de seguridad europeos para realizar las averiguaciones pertinentes, a los que les hemos entregado un informe técnico detallado de todas las apps que hemos realizado.

Cuando descubrimos estas apps maliciosas, todas ellas pasaban limpias los análisis de Virus Total. Desde el miércoles, tras hablar con Kaspersky han añadido una firma específica para estas apps, y a día de hoy varios motores antivirus para Android ya las detectan, así que todos los que las tengan instaladas aún, empezarán a tener avisos de seguridad de su antimalware. Google eliminó de Google Play la última app clicker perteneciente a esta red 48 horas después de que la denunciáramos.

Saludos Malignos!