Esta semana pasada, desde el laboratorio de Eleven Paths en Málaga, se ha descubierto, denunciado y publicado a una red de apps clickers maliciosas para Android que se comen tu ancho de banda y tu tarifa de datos completa para hacer un negocio de Click-Fraud y sacarse unos Euros a costa de tu conexión. Es decir, una pequeña botnet de al menos 32 apps que se volvieron maliciosas para comerse el ancho de banda de miles de infectados y conseguir beneficios con el mundo de la publicidad.
Esquemas de Click-Fraud
Los esquemas de Click-Fraud no son nuevos, y en el mundo del Fraude Online han sido portados a los dispositivos móviles desde las primeras botnets de equipos personales, donde comenzaron hace ya muchos años. Las empresas de publicidad buscan cómo detectar y bloquear estos esquemas, y por tanto los ciberciminales dedicados a este negocio cada vez buscan formas nuevas de hacerlo.
Al final el objetivo para hacer un esquema de Click-Fraud es que alguien se dé de alta en un sistema de publicidad que pague por cada visita que se consiga a los anunciantes. A partir de ese momento, lo que debe conseguir para ganar dinero es que haya muchos clics en los anuncios, simulando que son manuales, para que se le pague mucho dinero. Por supuesto, cuando se hacer un Click-Fraud, lo que pretende el cibercriminal es automatizar los clics sin el consentimiento del usuario, y saltándose los mecanismos de protección que tengan los servicios de publicidad, para de esta forma recibir los beneficios como si hubieran sido personas las que visitaban esos anuncios.
En el mundo de los dispositivos móviles, lo que se suele hacer es conseguir una app maliciosa que, sin que el usuario lo vea, está visitando constantemente enlaces patrocinados, que son cargados en Webviews ocultas al usuario, produciendo colateralmente un consumo de ancho de banda y un consumo de tarifa de datos, que en situaciones de roaming puede llegar a ser un auténtico problema económico. En el mundo de iOS, hace no mucho tiempo vimos como en Cydia se había colado un adware que hacía click-fraud, y en Android lo hemos visto muchas veces, como es el caso del fraude que hemos localizado en Google Play estos días atrás.
Descubrimiento e investigación de las apps maliciosas con Path 5
En Eleven Paths contamos con Path 5, un sistema que sirve para descubrir apps sospechosas que deban ser analizadas en detalle y que nos ayudan a encontrar actividades maliciosas como ShuaBang Botnet o analizar las apps que hay en los markets para saber qué podemos encontrar en sitios como Mobogenie o qué tipo de fake apps hay en Google Play. Todo ello junto con la característica de archivar todas las apps para poder analizar cualquiera de ellas con calma.
Para ello se cuenta con un avanzado sistema de filtros que permiten detectar anomalías en apps que capturen la atención de los analistas de seguridad de las empresas. En este caso, la primera app que llamó la atención de nuestro equipo fue ésta, que supuestamente debe ser un mando remoto para controlar desde Android tu televisor por medio de la tecnología de Infrarojos. Sin embargo, esta app carecía del permiso necesario para controlar los Infrarojos, que en Android es TRASMIT_IR, además de tener un tamaño de solo 300 KB, por lo que cayó en uno de nuestros filtros de detección de apps sospechosas.
Para ello se cuenta con un avanzado sistema de filtros que permiten detectar anomalías en apps que capturen la atención de los analistas de seguridad de las empresas. En este caso, la primera app que llamó la atención de nuestro equipo fue ésta, que supuestamente debe ser un mando remoto para controlar desde Android tu televisor por medio de la tecnología de Infrarojos. Sin embargo, esta app carecía del permiso necesario para controlar los Infrarojos, que en Android es TRASMIT_IR, además de tener un tamaño de solo 300 KB, por lo que cayó en uno de nuestros filtros de detección de apps sospechosas.
Figura 3: Supuesta app para controlar el TV desde Android |
Tras un análisis detallado que os explico en el siguiente apartado, se pudo comprobar que era un app clicker, es decir, para hacer estafas de Click-Fraud, y por tanto había que ver si existían, como así fue, más apps del mismo cibercriminal ocultas bajo otros nombres o bajo otros desarrolladores, como suele ser habitual.
Utilizando Path 5, es fácil al final hacer un patrón para localizar todas las apps que ha subido esta persona desde finales de diciembre hasta la semana pasada, cuando denunciamos la última app a Google Play por ser fraudulenta. Todas ellas están creadas en la zona de GMT+2, correspondiente a parte de Europa, Turquía y África, tienen un tamaño muy pequeño (menos de 300 KB) y algunas pretendían ser una versión 2 de la app, sin haber existido una versión inicial. Esto ofrece una lista de apps posibles.
Sobre ellas, analizando el contenido de los paquetes fue posible localizar un factor común en todas ellas utilizado en el código, así que obtuvimos las 32 apps que estaban siendo utilizadas para este estafa.
Utilizando Path 5, es fácil al final hacer un patrón para localizar todas las apps que ha subido esta persona desde finales de diciembre hasta la semana pasada, cuando denunciamos la última app a Google Play por ser fraudulenta. Todas ellas están creadas en la zona de GMT+2, correspondiente a parte de Europa, Turquía y África, tienen un tamaño muy pequeño (menos de 300 KB) y algunas pretendían ser una versión 2 de la app, sin haber existido una versión inicial. Esto ofrece una lista de apps posibles.
Figura 4: Algunas de las 32 apps clickers usadas en este esquema de fraude |
Sobre ellas, analizando el contenido de los paquetes fue posible localizar un factor común en todas ellas utilizado en el código, así que obtuvimos las 32 apps que estaban siendo utilizadas para este estafa.
Figura 5: Más de las 32 apps clickers. Todas han sido tiradas de Google Play |
Como se puede ver, las apps son muy llamativas visualmente y utilizan marcas muy conocidas para el mercado de los más jóvenes, como Ben 10, Talking Tom y juegos similares. Es decir, usuarios de "gatillo" fácil en el mundo de las apps gratuitas. En la lista, se puede ver la cantidad de nombres de desarrollador distintos que estaba utilizando. Como curiosidad, algunas de estas apps inicialmente habían sido subidas con otros nombres {en idioma Turco} y luego cambiaron a los nombres más llamativos para volverse maliciosas.
En la parte de análisis del código, es fácil saber cómo hace el engaño aunque cuenta con un truco muy curioso. La app, que lógicamente con esos tamaños carece de cualquiera de las funciones que dice hacer cuando se ejecuta lanza un mensaje de error de compatibilidad, dejando creer al usuario que no se ha podido instalar por ser su dispositivo incompatible. Como se puede ver, dependiendo del idioma sale un texto u otro, pero siempre sale el error.
Figura 6: La app siempre simula fallar y da un mensaje de alerta avisando de ello. |
El mensaje de error sirve para calmar al usuario, y la app parece que se borra, pero con una configuración específica en el manifiesto, lo que hace es borrar el icono y no volver a ejecutarse hasta el siguiente reinicio o hasta que haya un cambio en la conexión de la red. Una vez arranca el servicio, las apps se conectan a la URL sita en 1.oin.systems/check.php donde si reciben un valor TRUE se activa el modo de Click-Fraud de la app.
Figura 7: Uno de los dominios a los que se conectan las apps clickers |
Para ello, las apps se conectan a otros dominios a recoger la lista de URL en las que deben hacer clic. Se puede ver una lista de las URLs que visitan las apps en pop.oin.systems/commands.php, uno de los dominios utilizados por muchas de estas apps clickers.
Figura 8: Lista de URLs a las que se debe ir conectando cada app clicker servidas desde un Web Broker |
Todas esas URLs son cargadas en una webview que se pinta dentro de un layout fuera de la zona visible de la app, por lo que el usuario no es consciente de que su terminal móvil está todo el tiempo navegando y cargando las páginas webs de anunciantes de estos sitios.
¿Quién está detrás de esta estafa?
Encontrar quién está detrás de estas apps no parece ser muy complicado - o por lo menos según apuntan los indicios -. En una de las apps, haciendo el análisis de tráfico dinámico, es decir, arrancando la app en una conexión a Internet monitorizada por WireShark, se puede ver la conexión a un dominio llamado OXTI.NET que también está entregando URLs de sitios que deben visitar las apps.
Figura 9: URL visitada para obtener una dirección a visitar con una app clicker |
Para que veáis cómo funciona esta entrega de URLs de sitios a visitar, hemos hecho este pequeño vídeo que muestra como en cada petición se recibe una dirección de Internet distinta a visitar.
Figura 10: Vídeo demostrativo de cómo un Web Broker sirve las URLs a visitar
Accediendo al registro Whois de ese dominio, se puede ver que el sitio ha sido registrado con una cuenta de correo electrónico de Gmail, de una persona que tiene 178 dominios registrados a su nombre.
Figura 11: Datos del registro Whois asociado a OXTI.NET. Los contactos de registro, administrativo y técnico son el mismo. |
Buscando esa dirección de correo electrónico en Internet, en Facebook, y visitando los dominios, se puede ver que pertenece a un desarrollador turco de apps para Android, que cuenta en ese mismo sitio con otras apps que no parecen ser clickers como estas. De hecho, este desarrollador cuenta con un blog de Android en Turco en el que habla a veces de apps maliciosas.
Detalles Finales
Detalles Finales
Dicho esto, no se puede garantizar 100 % que sea esta persona quién está detrás de esta red de apps maliciosas para hacer Click-Fraud, ya que podría ser solo un cúmulo de coincidencias y que le hubieran hackeado el servidor. Hace falta realizar una investigación de campo vía cuerpos de seguridad europeos para realizar las averiguaciones pertinentes, a los que les hemos entregado un informe técnico detallado de todas las apps que hemos realizado.
Cuando descubrimos estas apps maliciosas, todas ellas pasaban limpias los análisis de Virus Total. Desde el miércoles, tras hablar con Kaspersky han añadido una firma específica para estas apps, y a día de hoy varios motores antivirus para Android ya las detectan, así que todos los que las tengan instaladas aún, empezarán a tener avisos de seguridad de su antimalware. Google eliminó de Google Play la última app clicker perteneciente a esta red 48 horas después de que la denunciáramos.
Cuando descubrimos estas apps maliciosas, todas ellas pasaban limpias los análisis de Virus Total. Desde el miércoles, tras hablar con Kaspersky han añadido una firma específica para estas apps, y a día de hoy varios motores antivirus para Android ya las detectan, así que todos los que las tengan instaladas aún, empezarán a tener avisos de seguridad de su antimalware. Google eliminó de Google Play la última app clicker perteneciente a esta red 48 horas después de que la denunciáramos.
Saludos Malignos!
Gracias por ayudarnos con su trabajo chema 3:)
ResponderEliminarEspero que sigan desenmascarandolos...
Muy buen articulo e interesante. Un gran trabajo el que realizáis buscando y reportando estas apps.
ResponderEliminarTambién se agradece la rapidez para agregar más archivos a repositorio por parte de las empresas de seguridad.
Saludos}:)
Increíble la forma de llegar hasta un posible desarrollador con nombre y apellidos, digamos , se nota el gran trabajo que hay detrás. Un saludo!
ResponderEliminarGracias por el trabajo que haces! da gusto leerte, hace poco que lo descubrí el blog por el articulo de tus vecinos roba wifi!
ResponderEliminar¿Cómo que "desde el laboratorio (...) se ha descubierto"? ¿No es más simple "el laboratorio (...) ha descubierto", ahorrando una preposición absurda y un pronombre reflexivo redundante?
ResponderEliminarY luego el sentir común de la gente seguirá siendo igual: "que si hackers hacen ésto, que si hackers hacen lo otro, que si le roban fotos a no se quién y las publican.." bla bla bla..
ResponderEliminarOjalá cada persona del mundo leyera ésta entrada y comprendieran lo que son hackers y no ciberdelincuentes.
Gracias a path 5 y a chema por compartir y combatir a gente que sencillamente se aprovechan de la obvia falta de conocimientos de la gente de a pie, que nada tiene que ver con "ordenadores" aunque los usen ^^
Ya ves, enhorabuena y muchas gracias por hacernos el dia a dia mas seguro, ese laboratorio y todos los responsables es la caña de España, muchas gracias por la info Dr.Maligno!
ResponderEliminarMe gustaria que testaras esta aplicacion; Micophone Block Free en Google Play, supuestamente bloquea el micro como su nombre indica al igual que hay otra para la camara de la misma firma, la cosa es que hace unos dias estoy esperimentando algo que me da mal royo y es que cuando supuestamente esta bloqueado se escucha como si el micro este abierto, lo desbloqueo y se para, seria interesante que la analizarais haber si y ocurre lo mismo.
Saludos!
Muchas gracias Mr Maligno.
ResponderEliminarTe sigo desde México y creeme que cada post tuyo me educa un mucho más.
Que bueno que haya HACKERS que cuidan ala gente y no solo estafan como estas apps.
Si instalo una app maliciosa y luego la borro, sigo infectado?
ResponderEliminarCuriosamente yo me tope con este blog sin buscar sobre esta app, ya que andaba buscando la manera de bloquear el archivo robots.txt
ResponderEliminarYo instale, descuidadamente, la app del control remoto y a raiz de eso me muestra cada 2 dias aprox. su publicidad para aplicaciones estafas directo de google play, en cuanto desbloqueo el movil me aparece la app de google play con la página de las apps fraude como sugerencia.
¿Hay alguna manera de eliminar eso? Yo si pude usar la aplicacion pero como no tengo infrarojo en este modelo (Xperia M2) no funciono, pero si cargaba una interfaz y todo. Desinstale la aplicacion pero la publicidad sigue. Me gustaría saber la manera de quitar de raíz este malware ya que aun soy bastante nuevo en Android, me he especializado de toda la vida en Windows por lo que ya consiguieron un fiel lector. Felicidades por tan buen material.
Saludos
Y cuáles son esas 32 aplicaciones?
ResponderEliminarJoder, desde hacía un par de meses mi pincho Android me iba de culo. No conectaba correctamente a la wifi al arrancar, le costaba tirar los primeros dos minutos... Total que metí el Titanium y empecé a quitar cosas, excepto una utilidad Samba que nunca me llegó a funcionar correctamente y dos juegos con los que se entretenían mis hijos.
ResponderEliminarNo sólo el pincho iba mal, es que hacía colgar al router.
Al final tuve que hacerle un factory reset al pincho y volverle a instalar solo las cosas que realmente uso (MX player, Bittorrent, firefox y el VNC) y desde entonces, nada ha vuelto a fallar en casa.
No sabía qué había sido el culpable, pero ahora lo tengo clarísimo.
Gracias Chema, mola saber que estáis ahí a capa y espada.
ResponderEliminar