jueves, enero 22, 2015

La venta de apps al cibercrimen convierte tus apps en Gremlins malos

Si hace unos días hablaba de las apps mágicas para hackear, hoy quiero hablar de las apps Gremlins que se pueden volver malas. Seguro que los que hayáis vivido los años 80 con intensidad recordaréis aquella mítica película en la que un tipo en la trastienda de un local en un subsuelo entregaba al protagonista de la cinta una cajita con Gizmo, ese precioso y adorable Gremlin. Luego la cosa se complicaba, y al caerle gotas de agua se comenzaba a duplicar en otros nuevos Gremlins pero que tenían peor carácter que el original para luego, comer después de las 12:00 de la noche y convertirse en unos bichos verdes que querían romper las cosas, beber, fumar, y esas cosas que hacen los adolescentes con ganas de fiesta.

Figura 1: La venta de apps al cibercrimen convierte tus apps en Gremlins malos

Eso mismo le puede a cualquiera de tus apps, si el programador decide sacarse unos dineros extras a sus conocimientos de desarrollo de apps para Android y vende tu instalación al mejor postor, como pasó con el caso de Pixel Battery Saver, que por unos 699 $ entregó sus entre 50 y 250 mil instalaciones a alguien al que se le ocurrió una mejor forma de monetizarla con un Fake AV para Android, llamado "Protección Completa de Antivirus".

Figura 2: Mensaje recibido de un usuario contando su experiencia

El funcionamiento de este negocio es ya conocido, y podríamos entenderlo como una mutación del típico Pay Per Install, donde los cibercriminales especializados en Fraude Online se dedicaban a pagar por las veces que un adware o malware se haya instalado. En el mundo de las apps fraudulentas, alguien quiere hacer un negocio con ransomware, adware o directamente montarse una botnet para hacer BlackASO como nuestro amigo de ShuaBang Botnet.

Para ello el cibercriminal, compra una app que está ya instalada en muchos terminales. Esto se puede hacer en sitios web como Sell The Apps, donde el que tiene las apps las pone a la venta al mejor postor, recibiendo ofertas por el código de la app o por el código, la app y la cuenta de desarrollador.

Figura 3: Apps a la venta en Sell the Apps

Evidentemente, los cibercriminales quieren la cuenta del desarrollador, porque así pueden hacer una actualización de la app cambiando absolutamente todo su comportamiento, y convirtiendo una app de ahorro de batería en un Fake AV para vender vacunas, publicidad, y hasta los datos del dueño del terminal. En el momento de escribir este artículo, Google Play aún no la ha tirado.

Figura 4: Pixel Battery Saver aún disponible en Google Play

Esta forma les hace conseguir un buen número de víctimas en muy poco tiempo, y aprovechar muy bien la ventana de tiempo que Google les de antes de que se tiren las apps de Google Play, momento en que se van a comprar otra app y listo.

Figura 5: Venta de Pixel Battery Saver en Sell The App

Por su parte, el vendedor de la app tampoco está muy preocupado por la cuenta del desarrollador, pues por supuesto el certificado digital utilizado para firmarla no tiene nada que ver, y probablemente la cuenta de Google Play ha sido también comprada en Internet, así que no tiene ningún rastro o información personal apuntándole a él.

Figura 6: Venta de cuentas de desarrollador de Google Play

Por supuesto, si un desarrollador vende su cuenta y tiene varias apps, todas se vuelven potencialmente maliciosas, pero lo que hay que tener en cuenta es que, las apps que están a la venta se pueden volver maliciosas en un futuro, y si el desarrollador está usando varias cuentas de developer en Google Play, todas se pueden acabar tornando peligrosas, por lo que nosotros desde Path 5 podemos ver cuáles son las que en un futuro cercano se van a convertir en Gremlins verdes malos.

Tú, por si acaso, ten mucho cuidado y no te instales Gremlins que vengan desde trastiendas en subsuelos o desde post patrocinados o recomendaciones de Facebook de amigos que tienen poco cuidado con la seguridad.

Saludos Malignos!

3 comentarios:

  1. Yo tengo instalada la version que aun no es un antivirus, temgo que desinstalarla por seguridad

    ResponderEliminar
  2. La verdad es que tendría que haber añadido una captura al mensaje (soy el autor), puesto que después de las opiniones negativas volvieron a cambiar el nombre y el icono, pero el desarrollador sigue siendo la misma empresa que la del falso antivirus.

    ResponderEliminar
  3. No seria responsabilidad de Google estar al tanto de las transacciones q se hagan con venta de cuentas de desarrollador?..o de plano evitarlas a sancion de inhabilitar al responsable de la cuenta q debe, para tenerla, ofrecer todos los datos personales y garantias de q hara buen uso de ella?. Con google como centro gestor y controlador de esas actividades?

    ResponderEliminar