El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad

Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué políticas establece Google para utilizar su market y qué rentabilidad podrían conseguir los atacantes. Esta clasificación tampoco pretende ser demasiado rigurosa puesto que algunas de las técnicas son totalmente opacas y además van cambiando periódicamente.

La política de Google Play

Para analizar el alcance del problema real que pueden suponer estas “FakeApps”, es necesario tener en cuenta muchos factores. Por ejemplo, entender la política de Google Play. En su market, cualquiera puede subir una aplicación (previo pago de unos 20 euros) sin demasiadas comprobaciones burocráticas o, al menos, mucho más relajadas que las que realizan otros. Esto convierte a Google Play en una store que, aunque oficial, no ofrece mucha resistencia desde el punto de vista legal (no es necesario demostrar ser una empresa o una entidad) e inevitablemente se presta al abuso.

Desde le punto de vista técnico (automatizado), han implementado otras medidas. Se han puesto en marcha varios mecanismos que, como cualquier método “desatendido”, sufre limitaciones. El problema de base sigue estando ahí, y es que cualquiera con una cuenta y de forma muy sencilla y sin costes significativos, puede subir aplicaciones. Sería equiparable al funcionamiento del buscador Google en la Internet “habitual”: se puede publicar cualquier cosa en Internet con un coste muy bajo, y Google se encarga de mostrarlo “sin prejuicios” hasta que por alguna razón decida que no debe aparecer entre sus resultados (con lo que se puede dar por desaparecido).

En resumen, se trata de un comportamiento reactivo que encasilla a Google Play en un modelo de lista negra. Los markets para Apple o Windows, por ejemplo, funcionan con una filosofía totalmente opuesta. Burocrácticamente (e incluso económicamente) resulta más difícil subir una aplicación, y si se cuela alguna maliciosa (algo que ha ocurrido más de una vez , pero de forma anecdótica en comparación), se ponen en marcha sistemas de “limpieza”. Google solo los aplica “a posteriori”.

¿Es rentable el negocio?

En resumen, Google prefiere dejar las puertas abiertas, y realizar trabajos de limpieza más intensos, algo condenado al fracaso puesto que al final, se expone durante un tiempo al usuario. ¿Ese riesgo es real? Como ya hemos mencionado, según Google, el nivel de aplicaciones fraudulentas que finalmente llegan a instalarse “es mínimo”. Esto es bastante discutible. Es probable que muchos de estos intentos de los atacantes no tengan demasiado éxito… pero otros muchos sí. Desde luego, a los que utilizan la estrategia de las FakeApps para instalar adware sí les merece la pena. El razonamiento es simple:

Crean cuentas a diario (a veces hasta dos y tres diferentes) lo que supone una inversión de 20 euros cada una.
Las apps (y las cuentas) son retiradas entre 24 y 48 horas después de ser subidas. Dependiendo de su sutileza, a veces permanecen más tiempo.
Cada instalación o click posterior suelen ganar unos céntimos. Cuando más agresiva la publicidad, más le pagan por cada instalación. En la imagen de más abajo se puede observar a un usuario hablando de cuánto puede llegar a ganar por instalación o click.
Esta estrategia es seguida por decenas de desarrolladores a diario, desde hace mucho tiempo.

Un usuario explica en un foro cuánto gana añadiendo adware muy agresivo a sus apps

Tras observar este comportamiento entre muchos “desarrolladores” durante un largo periodo, se podría concluir que la actividad es rentable y que la inversión inicial merece la pena incluso si se trata de poco más de un céntimo por instalación. Para conseguir esa rentabilidad, esto se traduce en muchas instalaciones a diario. La relación entre la inversión en tiempo para subir el malware o adware y el beneficio obtenido parece, al menos, rentable.

Otro ejemplo claro del “éxito” es el indicador de instalaciones de Google Play. Puede que a veces resulte extrañamente alto para aplicaciones falsas con adware o fraudes que han permanecido apenas unas horas en el market.

Ejemplo en móvil de Whatsapp falso (aunque el nombre y fabricante estén muy conseguidos).
El número de descargas y valoraciones es muy elevado. Se mantuvo unas 40 horas online

Obviamente, no todas las descargas ni votaciones que aparecen en las imágenes significan infecciones reales. Primero por las propias defensas del teléfono y algunos antivirus instalados, que detendrán la instalación antes de que suceda (aunque no la descarga). También, sobre todo, porque los atacantes engordan las descargas y las votaciones artificialmente. Saben que es un indicador de confianza para el usuario y lo usan como ingeniería social. Una buena parte de esas votaciones falsas las realizan los propios usuarios infectados, como veremos más adelante. Así, podremos observar aplicaciones fake, con muchos comentarios negativos, pero también con muchas valoraciones “5 estrellas”.

Ejemplo de una alta valoración en apenas unas horas para un juego falso que simulaba ser Candy Crush, impuesta por los propios usuarios que son incitados a valorarla con 5 estrellas antes de jugar (cosa que nunca ocurre)

En la próxima entrega veremos qué técnicas de limpieza técnica utiliza Google, y qué políticas ha puesto en marcha en el último año.