WhatsApp falso (adware) en Google Play

ElevenPaths    24 octubre, 2013
Durante
el día de ayer y hoy ha aparecido una réplica casi exacta de Whatsapp en Google
Play que se trata en realidad, de adware. Existen miles de programas maliciosos
en Google Play, y aparecen nuevos a diario… pero este caso es un poco
especial por varias razones.

En
Google Play pulula mucho malware, adware y todo tipo de sorpresas. No es novedad. Su política de «puertas abiertas» y
no necesitar firmar las aplicaciones, lo facilita. Hace un tiempo descubrimos en ElevenPaths una réplica de AdBlock Plus falso, que (cuando la noticia la publicó Kaspersky, con los créditos correspondientes) hizo bastante ruido. Lo curioso de aquel caso era que AdBlock
Plus fue «expulsada» hace mucho de Google Play porque Google «vive» de la publicidad, y no desea aplicaciones que la bloqueen. Por tanto, una
réplica exacta de esta aplicación en su market resultaba muy atractiva para el
usuario… y para los atacantes.

Lo
mismo ocurre con WhatsApp. Una de las apps más usada y descargada en España y muchos otros países, utilizada por más de 10 millones de personas solo en España ya en 2011 y cientos de millones de descargas acumuladas.

Aclarar
antes de nada las «categorías» de malware que se pueden encontrar
(permanente o efímeramente) en Google Play:
  • Malware
    y aplicaciones espía. Sin intentar imitar a nadie, son realmente sistemas de
    rastreo, espía, etc. Pensadas para usuarios que deseen directamente espiar/troyanizar a alguien.
  • Programas
    que «parecen» otros, pero no lo son realmente. Intentan confundir al
    usuario.
  • Programas
    que parecen otros, lo son e incluso puede que funcionen, pero además incluyen
    adware. Los atacantes reempaquetan el original al más puro estilo de los
    troyanos clásicos.
  • Programas que, en Google Play son presentados como réplicas exactas de otros (excepto en el nombre del fabricante) pero que
    son simplemente adware, no contienen la funcionalidad. Serían las «fake
    apps» de las que estamos hablando.
Estos últimos
son los más «interesantes», porque es donde el usuario puede ser engañado con mayor facilidad. Solo conocer el nombre del fabricante real (que no siempre se sabe), fijarse en el número de descargas y estrellas (que los atacantes se encargan de
engordar), la fecha… y estar muy atentos en general, pueden prevenir a la potencial víctima.

En este
caso, y como hemos comentado, aplicaciones falsas en Google Play hay demasiadas. Pero desde hace
unos meses, un cierto equipo de atacantes se está centrando en WhatsApp como fake app. Hemos
investigado y al menos disponemos de varios indicios de que se trata de un grupo chino de la provincia de Shandong que lleva varios meses
con el mismo modelo de ataque (seguiremos investigando, puesto que hay otro grupo que también utiliza Whatsapp como reclamo). Hasta hoy, no se había «atrevido» a crear
una réplica exacta, ni con el nombre ni con el icono. Estos son solo algunos ejemplos de lo que han venido haciendo durante el último mes. Se aprecia que en ocasiones han usado el antiguo icono de la app y en otras complementado el actual… y siempre han variado en cierta forma el nombre.




 Pero la utilizada como fake app hoy es:

La original:

Y solo las diferencia la transparencia del fondo de imagen (que suponemos un descuido del atacante). La aplicación falsa pesa menos de 300 kilobytes, frente a los 11 megas de la original. No es detectada por ningún motor antivirus (porque no contiene código reconocible como adware, ni abusa de los permisos), y
su única función es enviar publicidad invasiva al usuario cuando se instala, en ningún momento contiene funcionalidad útil del programa que suplanta. Curiosamente, necesita incluso menos
permisos que la original.

  • acceso completo a red
  • ver conexiones de red
  • consultar la identidad y el estado del teléfono
  • modificar o eliminar contenido del almacenamiento USB
  • instalar accesos directos
  • acceder a sistema archivos de almacenamiento USB
  • probar acceso a almacenamiento protegido

¿Por
qué a veces se parecen más a la original y a veces menos? Porque
cuanto más se parezca, más arriesgada la operación. Google Play los retirará
antes. Cuando no usan exactamente el mismo nombre o imagen, la aplicación falsa
puede perdurar más en el market. Es un caso de sacrificio entre efectividad y «duración» del ataque.



Sergio de los Santos
ssantos@11paths.com

Te puede interesar

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *