El negocio de las «FakeApps» y el malware en Google Play (VII): Cómo llegan a las víctimasElevenPaths 7 mayo, 2014 Seguimos observando las apps falsas en Google Play, cómo se comportan y cómo funciona este negocio. Si en la anterior entrada estudiamos qué estrategias manuales sigue Google Play para limpiar su store e intentar mitigar el problema, ahora veremos cómo llegan las FakeApps a los usuarios. Los atacantes necesitan posicionar las aplicaciones en Google Play «lo más alto posible» al igual que en en cualquier buscador. Por tanto, el SEO clásico y el menos convencional (el conocido como black SEO) también son técnicas válidas (aunque quizás menos estudiadas) en el market. Desde el punto de vista del atacante, es imprescindible aparecer en las búsquedas o apps relacionadas, para cazar al usuario despistado y ocasional. De esta forma las aplicaciones aparecerán muy cerca de la aplicación que desean suplantar, y los usuarios la descargarán más. Cada instalación, supone algunos céntimos en publicidad. Para conseguirlo, existen varias técnicas, basadas principalmente en la experiencia de cada desarrollador, puesto que no está documentada ninguna técnica que ofrezca mejores resultados. La verdadera popularidad alcanzada a través del mérito de la aplicación es la mejor, pero los atacantes manejan tiempos de semanas en el mejor de los casos, y no pueden esperar a que una app de mala calidad o que no es más que adware, se posicione en ese tiempo. Lo más habitual es aprovechar el nombre de aplicación que se quiere suplantar o con la que se quiere confundir además del texto explicación. La descripción de cada aplicación (el lugar donde se expone en qué consiste la app y las mejoras que incluye) permiten introducir cualquier tipo de texto. En él, los atacantes escriben todas las palabras que creen oportunas para que las víctimas lleguen a ellas. En este sentido, es muy parecido a las técnicas usadas con las páginas HTML y las keywords. Este es un ejemplo habitual que puede ocurrir en una descripción de Google Play. Una redacción llena de palabras sin sentido, que intenta que la app falsa aparezca cuando se buscan cualquiera de estas palabras. Google permite este tipo de descripciones caóticas y sin sentido. Se ha dado la situación en las que la aplicación falsa aparece sospechosamente «cerca» de la real, invitando a la confusión. Mostramos con imágenes, a continuación, algunos ejemplos de resultados de búsquedas. En esta imagen observamos hasta cuatro Minecraft falsos en las primeras posiciones de búsqueda El falso Top Eleven aparece en cuarta posición Si los grupos actúan a la vez, la búsqueda puede mostrar muchas apps falsas. Esta es una imagen tomada a principios de octubre de 2013 (un día especialmente complicado con muchas aplicaciones falsas), en el que una búsqueda del juego «Clash of clans» devolvía lo siguiente (las apps falsas están rodeadas con un círculo rojo). En rojo, las apps con iconos idénticos a otras, pero totalmente falsas que contienen adware o malware Desde diciembre de 2013, esta situación ya no se da de forma tan vistosa. Google Play modificó sus políticas, e impidió que dos aplicaciones compartiesen iconos sospechosamente parecidos. Igualmente, impedía el uso de un nombre exactamente igual a una app ya en el Store. Desde entonces, esta «contaminación» es mucho menos común, pero se han llegado a niveles preocupantes hasta al año pasado. Esto no significa que desde 2014 no existan FakeApps, sino que los atacantes han modificado sus hábitos. Ahora deben utilizar iconos de app más sutiles, o añadir palabras a los nombres originales para sortear las restricciones de Google. FakeApp de Clumsy Ninja, cuando todavía no estaba disponible para Android En resumen, la forma de llegar a las víctimas se basa en una buen parte de ingeniería social, y bastante de black SEO. * El negocio de las «FakeApps» y el malware en Google Play (I): Introducción * El negocio de las «FakeApps» y el malware en Google Play (II): Tipos de «fakes» * El negocio de las «FakeApps» y el malware en Google Play (III): Estrategias * El negocio de las «FakeApps» y el malware en Google Play (IV): Política y rentabilidad * El negocio de las «FakeApps» y el malware en Google Play (V): Limpieza automática * El negocio de las «FakeApps» y el malware en Google Play (VI): Limpieza «manual» * El negocio de las «FakeApps» y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las «FakeApps» y el malware en Google Play (VIII): Permisos en las apps * El negocio de las «FakeApps» y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv Internet se ha roto, otra vez (y II )Metashield for IIS y las universidades españolas
Telefónica Tech VMware Explore ’22 capitaliza la interoperabilidad entre múltiples nubes y entornos Cross-Cloud Escrito por Matheus BottanPartner development en Telefónica Tech Antes conocido como VM World (marca que dio sus primeros pasos en 2004) no hace falta decir que el actual VMware Explore...
Telefónica Tech Boletín semanal de Ciberseguridad, 26 de noviembre – 2 de diciembre Actualización urgente de Chrome para evitar el octavo 0-day del 2022 Google ha publicado una actualización de seguridad urgente para Chrome para evitar la explotación del octavo 0-day del 2022 en el...
Sergio de los Santos Certificados para Android de Samsung, LG (y otros) usados para firmar malware Todas las apps de Android están firmadas por un certificado. Pero esto no garantiza su identidad, sino su integridad. En la práctica implica que son certificados autofirmados por el...
Sebastián Molinetti ¿Cómo funciona una nube híbrida? A la hora de abordar la digitalización e iniciar el «viaje» a la nube, la mayoría de las empresas españolas optan por soluciones multicloud o por nubes híbridas...
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 25 de noviembre Publicado exploit para vulnerabilidades ProxyNotShell A finales del pasado mes de septiembre se produjeron las primeras publicaciones acerca de nuevas vulnerabilidades críticas en Microsoft Exchange Server, CVE-2022-41040 y CVE-2022-41082, que recibieron el nombre...
Martiniano Mallavibarrena ¿Realmente estamos comprando en internet de forma “segura”? En estas fechas en las que encadenamos Black Friday, Navidad y Reyes, nunca está de más pararse un momento para hacer un repaso mental de algunos aspectos y buenas...
Hola Sergio, repetis 2 veces "en" en "Los atacantes necesitan posicionar las aplicaciones en Google Play "lo más alto posible" al igual que en en cualquier buscador." Primera línea del segundo párrafo.Excelente material, un saludo. Responder
