Análisis de APPs relacionadas con COVID19 usando Tacyt (I)Andrés Naranjo Amador Aparicio 6 agosto, 2020 Aprovechando toda la atención que acapara este asunto, los markets oficiales de APPs, Google Play y Apple Store, han recibido un aluvión de aplicaciones diariamente. Ambas plataformas, sobre todo la de Android, ya limita la publicación y búsqueda de términos como “covid” o “coronavirus”: Google le ha declarado la guerra a aquellos que intentan aprovecharse del miedo para ganar descargas. A día de hoy, sólo permanecen en Google Play aquellas que pertenecen a estamentos oficiales de los distintos gobiernos. Para este rápido análisis vamos a usar la herramienta Tacyt de ElevenPaths, el ecosistema de ciberinteligencia móvil, donde su estructura de Big Data supervisa, almacena, analiza, correlaciona miles de aplicaciones nuevas cada día, y cuya información tenemos accesible para cotejar o comparar en base a consultas fáciles y sencillas. Una de las ventajas que nos ofrece Tacyt es que podemos tener accesibles todas las aplicaciones independientemente de la ubicación. Ya que Google Play puede ofrecer sólo resultados en función de nuestro país de origen según la disponibilidad que haya propuesto el desarrollador. Desde España, vamos al repositorio Oficial de Google Play y buscamos aquellas APPs relacionadas con la COVID19. Apps oficiales en España accesibles en el market de Google (10 en total) Nada que ver sin embargo con el número de aplicaciones encontradas en cualquier market no oficial: Apps encontradas en el market alternativo APTOIDE sólo con el término “coronavirus” Como ocurre con otros markets, Aptoide, por ejemplo no descarga directamente la APP que hemos solicitado sino el “descargador” a través del que se solicitará la descarga real. Esto puede intuirse fácilmente comprobando que el tamaño del archivo es el mismo: Descargas de apps desde APTOIDE De hecho, lo comprobamos fácilmente en Tacyt al subir estas aplicaciones, las detecta como una sola, con idéntico hash: Y es que Tacyt no sólo incluye sus propios motores de descubrimiento y descarga de aplicaciones, sino que además, usando la función de carga (ya sea vía web o API) el usuario puede subir las aplicaciones para ser analizadas, que podemos ver etiquetadas como “userUpload” y además etiquetarlas con nuestras propias etiquetas identificativas (como en la imagen, el autor de la subida o el mercado de donde se descargó). Esta función de subida nos puede ser muy útil para detectar en markets no oficiales versiones alteradas de nuestras aplicaciones legítimas, por ejemplo, de una entidad bancaria. Tacyt incluye en la interfaz un botón para comparar aplicaciones. En cualquier caso, no dejamos pasar la oportunidad de desaconsejar totalmente la instalación de aplicaciones desde fuentes no oficiales. Búsqueda con Tacyt en Google Play de apps relacionadas con la COVID19 desde el inicio de la Pandemia Vamos a centrar la investigación en Google Play. Se hace uso de los filtros para formar la siguiente búsqueda en Tacyt. Como puede verse estas consultas compuestas (dorks) habituales en búsqueda en Google, por ejemplo, son de fácil lectura: ((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (origin:"GooglePlay") AND (createDate:"2020-03-14 00:00:00 - today") Dorking para buscar con Tacyt apps en Google Play relacionadas con el COVID-19 publicadas desde el inicio del estado de alarma Respuesta de Tacyt con la búsqueda anterior: Apps relacionadas con el COVID-19 publicadas en Google Play que no son de España Buscamos ahora con Tacyt APPs no oficiales relacionadas con la COVID19 desde la fecha oficial del inicio de la pandemia. Para esta tarea, podemos usar el parámetro ORIGIN indicando la exclusión, por ejemplo -origin:GooglePlay o sea, todas aquellas cuya procedencia no es la oficial. ((packageName:*covid19*) OR (packageName:*coronavirus*)) AND (-origin:GooglePlay) AND (createDate:"2020-03-14 00:00:00 - today") Apps no oficiales publicadas desde el inicio de la pandemia Por ejemplo nos fijamos en los permisos de la APP con nombre de paquete “coronavirus.tracker.news” y haremos un rápido análisis. Los siguientes permisos son sospechosos: (sólo comentamos permisos diferentes a los “normales” de las APPs oficiales que atenten contra la privacidad o seguridad) android.permission.CHANGE_WIFI_STATE: permite que la APP cambie el estado de conectividad Wi-Fi.android.permission.INTERNET: permite que la APP abra conexiones de red.android.permission.WRITE_EXTERNAL_STORAGE: permite a la APP escribir en el almacenamiento externo del dispositivo.android.permission.READ_EXTERNAL_STORAGE: permite a la APP leer en el almacenamiento externo del dispositivo.android.permission.WAKE_LOCK: permite usar PowerManager WakeLocks para evitar que el procesador entre en suspensión o la pantalla se oscurezca. Para cualquier investigación, podemos cargar en Tacyt las APPs en lote y luego buscarlas mediante una etiqueta customizada y localizando, por ejemplo, como decíamos, permisos sospechosos: De igual forma, podríamos haber usado para buscar indicios la fecha de caducidad del certificado (a veces sospechosamente amplia), apikeys, cadenas de texto o emails asociados a malware, y un largo etc… En la siguiente parte veremos más información sobre los hallazgos. ElevenPaths se une a la OpenSSF para mejorar la seguridad del software open sourceNoticias de Ciberseguridad: Boletín semanal 1-7 de agosto
Telefónica Tech El poder de la digitalización sostenible en la lucha contra el cambio climático El cambio climático es considerado el mayor desafío de nuestro tiempo. Sus efectos abarcan desde la desertización y sequías hasta inundaciones y aumento del nivel del mar. Algunas de...
Telefónica Tech Boletín semanal de Ciberseguridad, 27 de mayo – 2 de junio Descubierta puerta trasera en cientos de placas base Gigabyte Investigadores de ciberseguridad de Eclypsium descubrieron una puerta trasera secreta en el firmware de cientos de modelos de placas base Gigabyte,...
Nacho Palou Cómo el lenguaje pone en riesgo la Ciberseguridad de las empresas La Ciberseguridad es un asunto fundamental para las empresas y organizaciones, de cualquier tamaño y sector. Los ciberataques pueden tener consecuencias graves o muy graves —incluso fatales— para los...
Carlos Rebato Criptografía, una herramienta para proteger los datos compartidos en la red Actualmente, la Ciberseguridad representa un aspecto primordial en las empresas. No obstante, cada día surgen nuevos modos de atentar contra ella. Muchos se han preguntado: ¿de qué manera las...
Roberto García Esteban ChatGPT y Cloud Computing: un matrimonio bien avenido ChatGPT (quizá no sepas que son las siglas de Chat Generative Pre-Trained Transformer) está en boca de todos por su impresionante habilidad para generar textos que parecen escritos por...
David Prieto Marqués La importancia del control de acceso: ¿está tu empresa protegida? Por David Prieto y Rodrigo Rojas En un mundo cada vez más digitalizado y complejo, la seguridad de la información es fundamental para las empresas. A medida que las empresas...