Detectados (muchos) Flash Player falsos en Google Play... y cuánto han ganado con las estafas

Google Play, como consecuencia de su política de aceptación
de apps, aloja frecuentemente programas falsos (que abusan de marcas y permisos) o malware puro y duro. Este hecho en sí, no es novedad. Pero es interesante no perderle la pista a las tendencias que siguen
los atacantes. En estos momentos, se está observando un pequeño bombardeo de
apps falsas de Flash Player (que no está oficialmente en Google Play). Además, hemos accedido a un servidor de un atacante y comprobado cuánto ha podido ganar con una de las estafas. Veamos
cómo funcionan técnicamente y algunas curiosidades.

Tras varias campañas de apps falsas, juegos e imitadores de Whatsapps toca el turno de Flash Player como reclamo para sus víctimas. Si bien
no se han encontrado tantas como en otras ocasiones con juegos y
aplicaciones diferentes (hubo un día que los atacantes subieron 30 Whatsapps falsos a Google Play), sí que se está encontrado un goteo constante. Al margen del
interés de muchas empresas en exagerar el malware en Android, (que no creemos
exagerado), es necesario recordar este tipo de problemas de seguridad. Sobre
todo, cuando se está empezando a inculcar la idea de que, si siempre se
descargan aplicaciones desde el market oficial, se obtiene una higiénica garantía
en Android. Si bien es el mejor sitio para descargar, está lejos de garantizar
nada.

Flash para Android

Hace un tiempo, Adobe anunció que dejaría de dar soporte Flash para las nuevas versiones de Android a partir de 4.1. Esto quiere
decir que no tendrían la «certificación», no que no funcionase
correctamente en estas nuevas versiones (de hecho, funciona). Incluso es
posible descargar desde la página oficial de Adobe versiones de Flash. Desde el 15 de agosto de 2012, no se puede encontrar Flash Player en
Google Play. Y si se encuentra uno, es o bien de un particular que lo ha
colgado (los hay legítimos), alguien que ha tomado prestado el código, empresas
legítimas… o un «fake» o una estafa Y de esos nos vamos a encargar.

Algunos ejemplos y curiosidades

Uno de los Flash Player falsos en Google Play

Desde finales de enero, hemos observado diferentes e insistentes atacantes. El 30 enero nos encontramos con un mismo atacante que sube
dos versiones falsas de Flash muy diferentes, incluso
han sido compiladas en diferentes plataformas (parece que Windows y Mac
respectivamente). La primera es especialmente curiosa: pesa solo 57 Kbs. Lo
único que hace es preguntar por si se quiere descargar Flash. Entonces acude a
un Flash oficial pero colgado como adjunto en el foro xda-developers, y lo instala. Y esto es todo por
parte de la aplicación. Mientras, también ha instalado un agresivo paquete de
publicidad (Leadbolt).

La
segunda parece más profesional. Dice venir de Vietnam, pero en realidad parece
estar programada en España. Además, han usado un email robado para dar de alta
la cuenta en Google Play. En concreto, la de woodybald@gmail.com. Un hombre de negocios de
Nueva York dedicado a la inmobiliaria que ha dado de alta varios dominios con
ese correo. Instala dos librerías que bombardearán el móvil con anuncios: Mobclick
y Revmob.

Varios Flash falsos mostrados en una búsqueda en Google Play

Al día siguiente lo intenta otro atacante con varios
paquetes. Probablemente proveniente de Londres. Este, desde hace tiempo, tiene
una técnica muy interesante. Simplemente te deriva la página web y te pide 5
euros por la instalación. Si se paga, proporciona un enlace de descarga, que no es más que el oficial de Adobe, de libre acceso. Lo ha
intentado en varias ocasiones con la misma técnica en el pasado. Dispone de un
correo muy aparente, que parece oficial de Android:
flashplayer@android.com.de.

Se trata de una página colgada en un dominio, normal y corriente. Gracias a la herramienta Cansina de Hispasec, descubrimos dos cosas interesantes:

Que obviamente no es necesario pagar para llegar a la página de descarga… (disponible en la ruta fp/osccs.html). Desde ahí, envía al enlace abierto y público para la descarga oficial de desde Adobe, que hemos referenciado más arriba.
Que mostraba las visitas de la herramienta Webstat abiertamente en otra ruta del servidor. Así hemos podido comprobar cuántas visitas ha recibido

La primera imagen es la que invita a pagar, en /fp/. La imagen de la derecha, la de después de haber pagado.. que está abiertamente en la ruta fp/osccs.html

En el webstat, descubrimos que la página está funcionando desde mediados de enero, internacionalmente (de hecho el país que más la visita es Brasil). Y lo curioso es que en enero, el atacante consiguió nada menos que 25.000 visitas a la página que solicita el pago, y 176 visitas a la que lo confirma. Obviamente esto no tiene por qué signficar 25.000 infectados o 176 víctimas de la estafa. Los datos son un indicio muy importante, no una prueba. Pero si, con cierta cautela, consideramos o conjeturamos arbitrariamente que solo la mitad de esas 176 visitas han llegado pagando los 5 euros correspondientes… El estafador ha podido ganar más de 400 euros en unos 15 días gracias a esta aplicación (pero tiene más que se basan en dominios parecidos…).

Las únicas páginas en el dominio. Arriba las visitas totales a la página que invita al pago. Abajo las que se supone que han accedido al pago con éxito.

Por supuesto, todos los user-agent de visita a la web, corresponden a teléfonos Android.

Por si fuera poco, esta app también bombardea el teléfono con notificaciones push gracias a la compañía de anuncios.. https://parse.com/.

Una «estafa» española

La «app» simplemente redirige a trailers de Youtube

La siguiente, aparecida a principios de febrero, parece totalmente española. Curiosamente, la menos detectada por los motores antivirus en Virustotal. Muestra un diálogo en la pantalla para ver vídeos de Youtube. Nada del otro mundo. Pero antes invita a aceptar una política de seguridad. En ella se hace referencia a una empresa española de «marketing directo», con su CIF, errores de ortografía, erratas, referencia a la ley y declaración de buenas prácticas. Sin embargo, no dice lo que la aplicación hace realmente.

Por supuesto, la aplicación está asociada con el gestor de anuncios TapContext que, obviamente, inutiliza prácticamente el teléfono inundando con publicidad. Pero eso es, «lo de menos» puesto que es la práctica habitual.

Si se examina el código, podemos comprobar que recorre la información de la agenda, incluso la de Whatsapp, y sube a un servidor la información de la víctima. Aquí presentamos algunas partes del código en la app (que aún no hemos estudiado a fondo).

La mayoría de las apps mencionadas han sido retiradas (menos la española, que cuenta con otra aplicación plagiada). Hay más modelos de estafas con Flash. La mayoría simplemente descargan el Flash oficial de Adobe, a veces exigiendo un pago a veces no. Estas nos han parecido las más curiosas, puesto que parece que hay varios grupos interesados durante estos días en este reclamo concreto en Google Play.

Sergio de los Santos

ssantos@11paths.com

@ssantosv

Guías detalladas de instalación de Latch en WordPress, Joomla, Drupal, PrestaShop y RoundCubeNueva herramienta: GmtCheck. ¿De dónde viene esta app de Android o applet?