Análisis de APPs relacionadas con COVID19 usando Tacyt (I)

Andrés Naranjo    Amador Aparicio    6 agosto, 2020
Análisis de APPs relacionadas con COVID19 usando TACYT (I)

Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo la de Android, ya limita la publicación y búsqueda de términos como “covid” o “coronavirus”: Google le ha declarado la guerra a aquellos que intentan aprovecharse del miedo para ganar descargas. A día de hoy, sólo permanecen en Google Play aquellas que pertenecen a estamentos oficiales de los distintos gobiernos.

Para este rápido análisis vamos a usar la herramienta Tacyt de ElevenPaths, el ecosistema de ciberinteligencia móvil, donde su estructura de Big Data supervisa, almacena, analiza, correlaciona miles de aplicaciones nuevas cada día, y cuya información tenemos accesible para cotejar o comparar en base a consultas fáciles y sencillas.

Una de las ventajas que nos ofrece Tacyt es que podemos tener accesibles todas las aplicaciones independientemente de la ubicación. Ya que Google Play puede ofrecer sólo resultados en función de nuestro país de origen según la disponibilidad que haya propuesto el desarrollador. Desde España, vamos al repositorio Oficial de Google Play y buscamos aquellas APPs relacionadas con la COVID19.

Apps oficiales en España accesibles en el market de Google (10 en total)
Apps oficiales en España accesibles en el market de Google (10 en total)

Nada que ver sin embargo con el número de aplicaciones encontradas en cualquier market no oficial:

Apps encontradas en el market alternativo APTOIDE sólo con el término “coronavirus”
 Apps encontradas en el market alternativo APTOIDE sólo con el término “coronavirus”

Como ocurre con otros markets, Aptoide, por ejemplo no descarga directamente la APP que hemos solicitado sino el “descargador” a través del que se solicitará la descarga real. Esto puede intuirse fácilmente comprobando que el tamaño del archivo es el mismo:

Descargas de apps desde APTOIDE
Descargas de apps desde APTOIDE

De hecho, lo comprobamos fácilmente en Tacyt al subir estas aplicaciones, las detecta como una sola, con idéntico hash:

Y es que Tacyt no sólo incluye sus propios motores de descubrimiento y descarga de aplicaciones, sino que además, usando la función de carga (ya sea vía web o API) el usuario puede subir las aplicaciones para ser analizadas, que podemos ver etiquetadas como “userUpload” y además etiquetarlas con nuestras propias etiquetas identificativas (como en la imagen, el autor de la subida o el mercado de donde se descargó).

Esta función de subida nos puede ser muy útil para detectar en markets no oficiales versiones alteradas de nuestras aplicaciones legítimas, por ejemplo, de una entidad bancaria. Tacyt incluye en la interfaz un botón para comparar aplicaciones.

En cualquier caso, no dejamos pasar la oportunidad de desaconsejar totalmente la instalación de aplicaciones desde fuentes no oficiales.

Búsqueda con Tacyt en Google Play de apps relacionadas con la COVID19 desde el inicio de la Pandemia

Vamos a centrar la investigación en Google Play. Se hace uso de los filtros para formar la siguiente búsqueda en Tacyt. Como puede verse estas consultas compuestas (dorks) habituales en búsqueda en Google, por ejemplo, son de fácil lectura:

((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (origin:"GooglePlay") AND (createDate:"2020-03-14 00:00:00 - today")

Dorking para buscar con Tacyt apps en Google Play relacionadas con el COVID-19 publicadas desde el inicio del estado de alarma
Dorking para buscar con Tacyt apps en Google Play relacionadas con el COVID-19 publicadas desde el inicio del estado de alarma

Respuesta de Tacyt con la búsqueda anterior:

Apps relacionadas con el COVID-19 publicadas en Google Play que no son de España
Apps relacionadas con el COVID-19 publicadas en Google Play que no son de España

Buscamos ahora con Tacyt APPs no oficiales relacionadas con la COVID19 desde la fecha oficial del inicio de la pandemia. Para esta tarea, podemos usar el parámetro ORIGIN indicando la exclusión, por ejemplo -origin:GooglePlay o sea, todas aquellas cuya procedencia no es la oficial.

((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (-origin:GooglePlay) AND (createDate:"2020-03-14 00:00:00 - today")

Apps no oficiales publicadas desde el inicio de la pandemia
Apps no oficiales publicadas desde el inicio de la pandemia

Por ejemplo nos fijamos en los permisos de la APP con nombre de paquete “coronavirus.tracker.news” y haremos un rápido análisis.

Los siguientes permisos son sospechosos: (sólo comentamos permisos diferentes a los “normales” de las APPs oficiales que atenten contra la privacidad o seguridad)

  • android.permission.CHANGE_WIFI_STATE: permite que la APP cambie el estado de conectividad Wi-Fi.
  • android.permission.INTERNET: permite que la APP abra conexiones de red.
  • android.permission.WRITE_EXTERNAL_STORAGE: permite a la APP escribir en el almacenamiento externo del dispositivo.
  • android.permission.READ_EXTERNAL_STORAGE: permite a la APP leer en el almacenamiento externo del dispositivo.
  • android.permission.WAKE_LOCK: permite usar PowerManager WakeLocks para evitar que el procesador entre en suspensión o la pantalla se oscurezca.

Para cualquier investigación, podemos cargar en Tacyt las APPs en lote y luego buscarlas mediante una etiqueta customizada y localizando, por ejemplo, como decíamos, permisos sospechosos:

De igual forma, podríamos haber usado para buscar indicios la fecha de caducidad del certificado (a veces sospechosamente amplia), apikeys, cadenas de texto o emails asociados a malware, y un largo etc…

En la siguiente parte veremos más información sobre los hallazgos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *