La venta de apps al cibercrimen convierte tus apps en Gremlins malos

Si hace unos días hablaba de las apps mágicas para hackear, hoy quiero hablar de las apps Gremlins que se pueden volver malas. Seguro que los que hayáis vivido los años 80 con intensidad recordaréis aquella mítica película en la que un tipo en la trastienda de un local en un subsuelo entregaba al protagonista de la cinta una cajita con Gizmo, ese precioso y adorable Gremlin. Luego la cosa se complicaba, y al caerle gotas de agua se comenzaba a duplicar en otros nuevos Gremlins pero que tenían peor carácter que el original para luego, comer después de las 12:00 de la noche y convertirse en unos bichos verdes que querían romper las cosas, beber, fumar, y esas cosas que hacen los adolescentes con ganas de fiesta.

Figura 1: La venta de apps al cibercrimen convierte tus apps en Gremlins malos

Eso mismo le puede a cualquiera de tus apps, si el programador decide sacarse unos dineros extras a sus conocimientos de desarrollo de apps para Android y vende tu instalación al mejor postor, como pasó con el caso de Pixel Battery Saver, que por unos 699 $ entregó sus entre 50 y 250 mil instalaciones a alguien al que se le ocurrió una mejor forma de monetizarla con un Fake AV para Android, llamado "Protección Completa de Antivirus".

Figura 2: Mensaje recibido de un usuario contando su experiencia

El funcionamiento de este negocio es ya conocido, y podríamos entenderlo como una mutación del típico Pay Per Install, donde los cibercriminales especializados en Fraude Online se dedicaban a pagar por las veces que un adware o malware se haya instalado. En el mundo de las apps fraudulentas, alguien quiere hacer un negocio con ransomware, adware o directamente montarse una botnet para hacer BlackASO como nuestro amigo de ShuaBang Botnet.

Para ello el cibercriminal, compra una app que está ya instalada en muchos terminales. Esto se puede hacer en sitios web como Sell The Apps, donde el que tiene las apps las pone a la venta al mejor postor, recibiendo ofertas por el código de la app o por el código, la app y la cuenta de desarrollador.

Figura 3: Apps a la venta en Sell the Apps

Evidentemente, los cibercriminales quieren la cuenta del desarrollador, porque así pueden hacer una actualización de la app cambiando absolutamente todo su comportamiento, y convirtiendo una app de ahorro de batería en un Fake AV para vender vacunas, publicidad, y hasta los datos del dueño del terminal. En el momento de escribir este artículo, Google Play aún no la ha tirado.

Figura 4: Pixel Battery Saver aún disponible en Google Play

Esta forma les hace conseguir un buen número de víctimas en muy poco tiempo, y aprovechar muy bien la ventana de tiempo que Google les de antes de que se tiren las apps de Google Play, momento en que se van a comprar otra app y listo.

Figura 5: Venta de Pixel Battery Saver en Sell The App

Por su parte, el vendedor de la app tampoco está muy preocupado por la cuenta del desarrollador, pues por supuesto el certificado digital utilizado para firmarla no tiene nada que ver, y probablemente la cuenta de Google Play ha sido también comprada en Internet, así que no tiene ningún rastro o información personal apuntándole a él.

Figura 6: Venta de cuentas de desarrollador de Google Play

Por supuesto, si un desarrollador vende su cuenta y tiene varias apps, todas se vuelven potencialmente maliciosas, pero lo que hay que tener en cuenta es que, las apps que están a la venta se pueden volver maliciosas en un futuro, y si el desarrollador está usando varias cuentas de developer en Google Play, todas se pueden acabar tornando peligrosas, por lo que nosotros desde Path 5 podemos ver cuáles son las que en un futuro cercano se van a convertir en Gremlins verdes malos.

Tú, por si acaso, ten mucho cuidado y no te instales Gremlins que vengan desde trastiendas en subsuelos o desde post patrocinados o recomendaciones de Facebook de amigos que tienen poco cuidado con la seguridad.

Saludos Malignos!

Instalar un AntiVirus en Android puede ser muy peligroso

Si alguien piensa que un antivirus (nombre más conocido por el gran público) - o antimalware (más conocido por los que trabajan en el sector tecnológico) - es una solución perfecta de seguridad es que es alguien de marketing o ventas. Dicho eso, no seré yo el que diga que una solución antimalware es inútil, ni mucho menos,  y a cualquiera que me pregunte le suelo recomendar que ponga uno en sus equipos, incluido por supuesto, el sistema operativo Android. En este sistema operativo hemos visto adware, bootkits, troyanos, virus y "crappware" en general de todos los tamaños y colores, y por ello creo que hay que tomarse esta amenaza muy en serio en el mundo de Android.

Figura 1:Instalar un AntiVirus en Android puede ser muy peligroso (si no pones uno auténtico)

Mi recomendación a todo aquel que pregunta es que si te gastas 300 € o 500 € en un dispositivo y vuelcas tu vida digital en él con un sistema operativo Android, el escatimar en tu protección me parece irresponsable - pero cada cual decide en qué se quiere gastar su dinero.

Elegir un Antimalware para sistema operativo Android

Yo suelo recomendar siempre soluciones antimalware profesional, con una historia contrastada en este mundo, y suelo hablar de las soluciones de Intel Security (McAffe), ESET, Kaspersky, Symantec, BitDefender, AVAST o similares, sin entrar en la enésima comparativa de cuál es más rápido o cuál detecta más muestras. Las soluciones profesionales de antimalware de estas casas suelen, además de contar con un laboratorio más o menos grande detrás, conocer el mundo del cibercrimen y el fraude online, y ofrecen soluciones completas con, por ejemplo, las soluciones Anti-Theft (Anti-Robo), para tener alguna oportunidad de recuperar un terminal perdido y proteger los datos cuando sea irrecuperable.

Figura 2: Las webs de las empresas antimalware tienen enlaces a las apps en los markets (en este caso con un QRCode)

Como última recomendación, no me quiero olvidar de dejar escrito que es importante estar seguro de estar descargando y/o comprando la app oficial enlazada desde la web oficial del fabricante. Es decir, no busques la app en Google Play donde estarás a merced del posicionamiento de cualquier app que haya podido ser conseguido con técnicas de BlackASO (Black App Store Optimization). Lo mejor es que si quieres usar, por ejemplo el antimalware de ESET para Android, te vayas a la web de la empresa y busques cómo se llama la herramienta y el enlace a la misma en Google Play, en este caso ESET Mobile Security.

¿Y si no haces eso? Pues entonces poner un Antivirus en Android puede ser muy peligroso.

En el mundo del cibercrimen, hace ya años que se inventó el Rogue o Fake Antivirus, que no es nada más que un malware camuflado como antimalware que te va a sacar dinero con malas prácticas. Así, las víctimas que acaban instalando estos Rogue AV o Fake AV para Android, recibirán alertas de virus que no existen, bloqueo y secuestro de ficheros por culpa de virus que son ellos mismos y que obligarán a pagar por nuevas versiones o falsas vacunas para poder seguir temporalmente usando el sistema operativo.

Figura 3: Android Defender un Fake AV para Android

Aprovechando que en Eleven Paths tenemos Path 5, nuestro Big Data de apps de Android, es fácil ver la cantidad de aplicaciones que con la palabra "Antivirus" existen y han sido quitadas de Google Play.

Figura 4: Tenemos localizadas en Path 5 un total de 320 apps con el keyword "antivirus" en el nombre

Pero no solo eso, sino que si miramos cuantas de ellas han sido marcadas como software malicioso por algún antimalware de verdad, podemos ver que el número es grande.

Figura 5: Hay 129 apps con la keyword "Antivirus" en el título eliminadas de Google Play y marcadas como software malicioso por algún antimalware profesional

Y lo que es aún más sorprendente, apps que están aún en Google Play tienen en el nombre el término Antivirus y que han sido marcadas por alguna casa de antimalware profesional como software malicioso - lo que debería llamar poderosamente la atención de cualquiera -, es también alta.

Figura 6: Apps en Google Play con el keyword "Antivirus" y que algún Antivirus profesional marca como software malicioso o sospechoso

Al final, si tienes un terminal Android y vas a poner todos los datos de tu vida personal digital en ese dispositivo, más te vale tomarte en serio la seguridad. ¿Un antivirus perfecto? Creo que no existe, pero seguro que su ayuda será siempre positiva, mientras que la de un adware, fake AV o Rogue AV simulando ser un antivirus será siempre negativa y no te defenderá para nada de la cantidad de crappware que muta por el market.

Saludos Malignos!

Cuidado con los Fake AV y los Rogue AV para Android

El otro día, cuando hablé del troyano profesional para Android, terminaba el artículo recordando de forma rápida algunas medidas de protección que pueden tomarse. Entre ellas, por supuesto, la de instalar un anti- malware en el dispositivo Android.

Figura 1: Troyano para Android robando conversaciones de WhatsApp

Después, reflexionando al releer los posts que había dejado guardados para leer más tarde, me di cuenta de que - además de haber dejado más info de cómo espiar WhatsApp - podría haber incitado sin querer a los menos avispados a caer en las manos de las mafias de los Fake AV o los Rogue AV, así que aprovecho el post de hoy para avisar de eso.

Los Fake AV o Rogue AV son herramientas que simulan ser soluciones Anti malware profesionales, pero que realmente son malware ellos mismos. Cuando se usa el termino de Fake AV suelen hacer referencia a adware que, simulando ser una herramienta de seguridad - como podrían simular se cualquier otra - ganan dinero instalando otro tipo de software, mediante la invasión del sistema como publicidad o mediante esquemas de Fraude Online como el envío de spam o el click-fraud.

Figura 2: Fake AV  para Android llamado VirusScanner que utilizaba el logo de Kaspersky

Los Rogue AV son por el contrario herramientas que simulan ser el antivirus, pero para secuestrar ficheros y vender falsas vacunas a precios descabellados. Es decir, crean el malware y la vacuna anti-malware a la carta para hacer la vida del usuario un completo infierno.

Figura 3: Rogue AV para Android llamado Android Defender quiere cobrar por vacunas

De estos dos tipos de herramientas hemos tenido cientos en sistemas operativos Microsoft Windows y Mac OS X, como el famoso MacDefender - y todas sus mutaciones - o los clásicos MacSweeper e Imunizator, primeros Rogue AV para el sistema operativo Mac OS X.

Figura 4: MacSweeper, el primer Rogue AV para Mac OS X

En el mundo de Android esto ya empieza a suceder desde hace algún tiempo, así que es posible encontrarse con la sorpresa de ir a buscar un anti-malware para Android y descargarse un Fake AV o Rogue AV, como el Mobile Defender que analizaba Jose Miguel Esparza en su blog.

Figura 5: Rogue AV para Android llamado Mobile Defender

Si vas a descargar una solución anti-malware para Android, busca alguna suite profesional de alguna compañía que previamente conozcas. Casi todas las empresas que hacen software anti-malware para Windows, Mac OS X o Linux, tienen soluciones para sistemas móviles como Symbian o Android, así que lo mejor es que te vayas a una casa de tu confianza.

Recuerda también que, los antivirus son una ayuda, pero no son 100 % efectivos, por lo que a pesar de que tengas instalado un anti-malware para tu Android, deberás seguir teniendo hábitos saludables, que nadie te va a salvar de tus errores garrafales.

Saludos Malignos!