El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual"

Seguimos observando las apps falsas en Google Play, cómo se comportan y cómo funciona este negocio. Si en la anterior entrada estudiamos qué estrategias automáticas sigue Google Play para limpiar su store e intentar mitigar el problema, ahora veremos qué políticas y métodos «manuales» aplica.

Vamos a hablar de qué estrategias ha seguido Google Play para intentar detectar y eliminar las aplicaciones falsas. Puesto que (principalmente) la razón de ser de las «FakeApps» es instalar malware o sistemas de publicidad en el dispositivo del usuario, la política de la store con respecto a la publicidad está íntimamente relacionada con el este tipo de aplicaciones y sus restricciones les afectan directamente.

¿No más anuncios intrusivos?

Durante el verano de 2013, Google Play modificó sus condiciones para la publicidad añadida a las aplicaciones. Envió un correo a los desarrolladores avisando sobre cambios en su política. En él, entre otras notificaciones, se alertaba explícitamente sobre:

«Restringimos el uso de nombres e iconos que puedan confundir por lo similar con apps existentes en el sistema, para reducir la confusión.»

Aunque habla explícitamente de nombres e iconos que puedan confundir por su similitud con apps existentes en el sistema, en realidad también han aplicado la política a otras apps ya alojadas en Google Play. Desde finales de año, es mucho más difícil subir apps con un icono idéntico a otra existente.

También durante el verano pasado, modificaron sus políticas de desarrollo, principalmente con la intención de acabar con los modelos de publicidad más molestos. Estos suelen ser los que vienen en forma de spam en la barra de notificaciones. AirPush (un SDK de desarrolladores para sindicar la publicidad) es la empresa que más utilizaba este molesto sistema de spam. Las políticas, ahora incluyen:

«Las aplicaciones y sus anuncios no deben añadir ni modificar marcadores ni opciones de configuración del navegador ni añadir accesos directos a la pantalla de inicio o iconos en el dispositivo del usuario como servicio a terceros o con fines publicitarios.»
«Las aplicaciones y sus anuncios no deben mostrar anuncios mediante notificaciones del sistema en el dispositivo del usuario, a menos que dichas notificaciones provengan de una función integral proporcionada por la aplicación instalada (por ejemplo, la aplicación de una compañía aérea que notifica a sus usuarios ofertas especiales o un juego que informa a los usuarios de promociones integradas en el juego).»

Esto fue un golpe para las compañías de publicidad más agresivas como Moolah Media, Smaato, LeadBolt o StartApp. Prácticamente, todas ellas ofrecen formatos similares de publicidad, entre los que figuran la instalación de iconos, el mencionado envío de notificaciones, la creación de marcadores «favoritos» o páginas de inicio en los navegadores. Pero AirPush es de las más agresivas. Tanto, que existen varias herramientas en el propio Google Play para saber si una aplicación hace uso de este sistema de publicidad.

Google decidió retirar todas las aplicaciones que las incluyeran, y se dio de plazo hasta final de septiembre de 2013. Hoy siguen existiendo en Google Play apps anteriores a esa fecha que lo contenían, todavía disponibles. Igualmente, no resulta complicado encontrar apps recientes que incorporan esta fórmula de publicidad agresiva.

Patente «antipiratería»

Recientemente, Google desveló una patente que permitía saber si una aplicación «se parecía» a otra. En ella, aunque no se habla explícitamente de Google Play, se observa claramente cómo está destinada a evitar los clones en este market. Comprueba una serie de parámetros de apps que ya tiene registradas y se compara si un nuevo programa se «parece demasiado» a través de una puntuación que evalúa su similitud. Este movimiento está claramente destinado a evitar los «reempaquetamientos» que se hicieron populares en Google Play hace dos años: un atacante tomaba una app famosa, le incluía publicidad o malware, y la volvía a subir a Google Play.

Retirada de aplicaciones

Google Play se está «limpiando a sí mismo» continuamente. Se eliminan actualmente de su market una media de entre 1000 a 1500 apps al día. Dependiendo del día se puede llegar a las 3000. Las apps desaparecen porque las retiran los propios desarrolladores o porque Google detecta que alguna app está violando alguna regla establecida en su mercado. También porque suspenda cuentas de desarrolladores completas y con él se vayan todos sus programas. Sin embargo, el número de apps alojadas no para de crecer.

Imagen de app retirada en Google Play

Si atendemos a cuánto tiempo tarda Google en retirar algunas aplicaciones. Podemos observar, a grandes rasgos, tres «franjas» de actuación.

Entre 24 y 40 horas. Las aplicaciones más «llamativas» suelen mantenerse en Google Play entre 24 y 40 horas. Hace algunos meses, en Eleven Paths ya hablamos sobre un AdBlock Plus falso en Google Play. No era el primero, ni fue el último, pero llamó la atención el hecho de colar una copia exacta de un programa prohibido por la propia Google. El programa estuvo online entre 30 y 40 horas. Y luego fue sustituido por otro. Después, el atacante siguió actuando, subiendo a Google Play aplicaciones falsas y adware, pero no volvió a usar AdBlock como reclamo.

Más de 48 horas. Este es el tiempo que «aguantan» las aplicaciones menos llamativas, que «disimulan» ser malware no usando ni nombres ni imágenes exactas. Varios WhatsApp falsos durante final de 2013 pasaron más de 5 días online. Otros fakes populares como el juego Clumsy Ninja (disponible oficialmente para Android desde el 15 de abril) podían pasar entre 3 y 4 días online, con un gran número de descargas.

Clumsy Ninja falso que contenía adware

Más de una semana. Otros fakes menos llamativos pueden durar mucho más tiempo en Google Play. Es el caso de este fake del juego Taxi Driver 2, se mantuvo hasta cinco meses online. Se trata de un programa «reempaquetado» con publicidad no tan agresiva como AirPush.

Este fake (a la derecha) consiguió mantenerse en Google Play durante 5 meses

Otros atacantes, con ligeros cambios en el nombre, han conseguido que sus fakes se mantengan bastante tiempo en Google Play. Por ejemplo, este «fabricante» llamado NEW APP consiguió en octubre permanecer casi una semana online, usando las mismas imágenes aunque modificando ligeramente los nombres de los juegos.