El negocio de las «FakeApps» y el malware en Google Play (VI): Limpieza «manual»ElevenPaths 21 abril, 2014 Seguimos observando las apps falsas en Google Play, cómo se comportan y cómo funciona este negocio. Si en la anterior entrada estudiamos qué estrategias automáticas sigue Google Play para limpiar su store e intentar mitigar el problema, ahora veremos qué políticas y métodos «manuales» aplica. Vamos a hablar de qué estrategias ha seguido Google Play para intentar detectar y eliminar las aplicaciones falsas. Puesto que (principalmente) la razón de ser de las «FakeApps» es instalar malware o sistemas de publicidad en el dispositivo del usuario, la política de la store con respecto a la publicidad está íntimamente relacionada con el este tipo de aplicaciones y sus restricciones les afectan directamente. ¿No más anuncios intrusivos? Durante el verano de 2013, Google Play modificó sus condiciones para la publicidad añadida a las aplicaciones. Envió un correo a los desarrolladores avisando sobre cambios en su política. En él, entre otras notificaciones, se alertaba explícitamente sobre: «Restringimos el uso de nombres e iconos que puedan confundir por lo similar con apps existentes en el sistema, para reducir la confusión.» Aunque habla explícitamente de nombres e iconos que puedan confundir por su similitud con apps existentes en el sistema, en realidad también han aplicado la política a otras apps ya alojadas en Google Play. Desde finales de año, es mucho más difícil subir apps con un icono idéntico a otra existente. También durante el verano pasado, modificaron sus políticas de desarrollo, principalmente con la intención de acabar con los modelos de publicidad más molestos. Estos suelen ser los que vienen en forma de spam en la barra de notificaciones. AirPush (un SDK de desarrolladores para sindicar la publicidad) es la empresa que más utilizaba este molesto sistema de spam. Las políticas, ahora incluyen: «Las aplicaciones y sus anuncios no deben añadir ni modificar marcadores ni opciones de configuración del navegador ni añadir accesos directos a la pantalla de inicio o iconos en el dispositivo del usuario como servicio a terceros o con fines publicitarios.» «Las aplicaciones y sus anuncios no deben mostrar anuncios mediante notificaciones del sistema en el dispositivo del usuario, a menos que dichas notificaciones provengan de una función integral proporcionada por la aplicación instalada (por ejemplo, la aplicación de una compañía aérea que notifica a sus usuarios ofertas especiales o un juego que informa a los usuarios de promociones integradas en el juego).» Esto fue un golpe para las compañías de publicidad más agresivas como Moolah Media, Smaato, LeadBolt o StartApp. Prácticamente, todas ellas ofrecen formatos similares de publicidad, entre los que figuran la instalación de iconos, el mencionado envío de notificaciones, la creación de marcadores «favoritos» o páginas de inicio en los navegadores. Pero AirPush es de las más agresivas. Tanto, que existen varias herramientas en el propio Google Play para saber si una aplicación hace uso de este sistema de publicidad. Google decidió retirar todas las aplicaciones que las incluyeran, y se dio de plazo hasta final de septiembre de 2013. Hoy siguen existiendo en Google Play apps anteriores a esa fecha que lo contenían, todavía disponibles. Igualmente, no resulta complicado encontrar apps recientes que incorporan esta fórmula de publicidad agresiva. Patente «antipiratería» Recientemente, Google desveló una patente que permitía saber si una aplicación «se parecía» a otra. En ella, aunque no se habla explícitamente de Google Play, se observa claramente cómo está destinada a evitar los clones en este market. Comprueba una serie de parámetros de apps que ya tiene registradas y se compara si un nuevo programa se «parece demasiado» a través de una puntuación que evalúa su similitud. Este movimiento está claramente destinado a evitar los «reempaquetamientos» que se hicieron populares en Google Play hace dos años: un atacante tomaba una app famosa, le incluía publicidad o malware, y la volvía a subir a Google Play. Retirada de aplicaciones Google Play se está «limpiando a sí mismo» continuamente. Se eliminan actualmente de su market una media de entre 1000 a 1500 apps al día. Dependiendo del día se puede llegar a las 3000. Las apps desaparecen porque las retiran los propios desarrolladores o porque Google detecta que alguna app está violando alguna regla establecida en su mercado. También porque suspenda cuentas de desarrolladores completas y con él se vayan todos sus programas. Sin embargo, el número de apps alojadas no para de crecer. Imagen de app retirada en Google Play Si atendemos a cuánto tiempo tarda Google en retirar algunas aplicaciones. Podemos observar, a grandes rasgos, tres «franjas» de actuación. Entre 24 y 40 horas. Las aplicaciones más «llamativas» suelen mantenerse en Google Play entre 24 y 40 horas. Hace algunos meses, en Eleven Paths ya hablamos sobre un AdBlock Plus falso en Google Play. No era el primero, ni fue el último, pero llamó la atención el hecho de colar una copia exacta de un programa prohibido por la propia Google. El programa estuvo online entre 30 y 40 horas. Y luego fue sustituido por otro. Después, el atacante siguió actuando, subiendo a Google Play aplicaciones falsas y adware, pero no volvió a usar AdBlock como reclamo. Más de 48 horas. Este es el tiempo que «aguantan» las aplicaciones menos llamativas, que «disimulan» ser malware no usando ni nombres ni imágenes exactas. Varios WhatsApp falsos durante final de 2013 pasaron más de 5 días online. Otros fakes populares como el juego Clumsy Ninja (disponible oficialmente para Android desde el 15 de abril) podían pasar entre 3 y 4 días online, con un gran número de descargas. Clumsy Ninja falso que contenía adware Más de una semana. Otros fakes menos llamativos pueden durar mucho más tiempo en Google Play. Es el caso de este fake del juego Taxi Driver 2, se mantuvo hasta cinco meses online. Se trata de un programa «reempaquetado» con publicidad no tan agresiva como AirPush. Este fake (a la derecha) consiguió mantenerse en Google Play durante 5 meses Otros atacantes, con ligeros cambios en el nombre, han conseguido que sus fakes se mantengan bastante tiempo en Google Play. Por ejemplo, este «fabricante» llamado NEW APP consiguió en octubre permanecer casi una semana online, usando las mismas imágenes aunque modificando ligeramente los nombres de los juegos. Ejemplo de desarrollador con claros fakes que consiguió mantenerse una semana en Google Play * El negocio de las «FakeApps» y el malware en Google Play (I): Introducción * El negocio de las «FakeApps» y el malware en Google Play (II): Tipos de «fakes» * El negocio de las «FakeApps» y el malware en Google Play (III): Estrategias * El negocio de las «FakeApps» y el malware en Google Play (IV): Política y rentabilidad * El negocio de las «FakeApps» y el malware en Google Play (V): Limpieza automática * El negocio de las «FakeApps» y el malware en Google Play (VI): Limpieza «manual» * El negocio de las «FakeApps» y el malware en Google Play (VII): Cómo llegan a las víctimas * El negocio de las «FakeApps» y el malware en Google Play (VIII): Permisos en las apps * El negocio de las «FakeApps» y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps? Sergio de los Santos ssantos@11paths.com @ssantosv Cómo se usa la aleatoriedad en la seguridadOcho siglas relacionadas con las vulnerabilidades (III): CVSS
Telefónica Tech Boletín semanal de ciberseguridad, 18 — 24 de junio Caída de los servicios de Microsoft Office 365 y Cloudflare a nivel mundial A lo largo del pasado martes se vieron interrumpidos múltiples servicios web a nivel mundial. El origen...
Cristina del Carmen Arroyo Siruela Día de la mujer ingeniera: construyendo nuevos caminos El término “ingeniero” proviene del latín, ingenium, en castellano ingenio. Desde hace mucho tiempo, se ha asociado el mundo de la ingeniería con el sexo masculino. Pero ¿es el...
Cristina del Carmen Arroyo Siruela Los ataques más comunes contra las contraseñas y cómo protegerte Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación,...
Telefónica Tech Webinar: Sports Tech, la revolución digital del fútbol El pasado 15 de junio desde Telefónica Tech organizamos un webinar dedicado a la tecnología en el deporte: “Sports Tech, la revolución digital del fútbol”, disponible ya en nuestro...
Telefónica Tech Boletín semanal de ciberseguridad, 13 — 17 de junio Hertzbleed. Nuevo ataque de canal lateral contra procesadores AMD e Intel Investigadores de seguridad de varias universidades de Estados Unidos han descubierto un nuevo ataque de canal lateral que afecta...
Telefónica Tech ¡Estamos de estreno! Conoce la nueva web de Telefónica Tech Cyber Security & Cloud En Telefónica Tech no dejamos de crecer y de trabajar para ser el partner tecnológico de las empresas en su proceso de transformación digital. Como parte de este propósito Telefónica Tech...
