Este viernes, desde el blog de Eleven Paths os avisamos de una nueva vuelta de tuerca de un viejo negocio, el de los descargadores de aplicaciones en el mundo móvil. No es algo inventado ayer, ni en el mercado de los dispositivos móviles, ya que los negocios de Pay Per Install se han utilizado tanto en aplicaciones maliciosas en el mundo del Fraude Online como en negocios basados en Try&Buy que vimos con las famosas Trials o el mercado del ShareWare. En el mundo de las apps para móviles, donde tan difícil es destacar, muchas empresas legítimas pagan por la instalación y distribución a empresas de publicidad y marketing, que alguna vez usan técnicas BlackASO o modelos como este de descargadores.
Figura 1: Apps maliciosas en Google Play que te dan el adware del día |
Esta semana en el mundo de Android hemos podido descubrir, gracias nuestra plataforma de investigación Path 5, una nueva familia de apps maliciosas que están haciendo negocio con la instalación de apps en diferido - por supuesto adware agresivo entre ellas - sin que el usuario que ha sido infectado sepa cómo está pasando esto ni cuál es el origen del problema, ya que la llegada de la app maliciosa se encuentra en el pasado, por lo menos un día atrás en el pasado.
El modelo de instalación de Apps paso a paso
Para que os hagáis una idea del proceso, lo que sucede es que un usuario llega por algún medio a una de estas apps maliciosas publicadas en Google Play que van a hacer de DOWNLOADER de apps. Por supuesto esta app se enmascara con cualquier otra función, como puede ser un modificador de sonidos, una control remoto de televisión, una aplicación de trucos para cualquier cosa, o similares.
Figura 2: App DOWNLOADER que hace de modificador de voces |
Una vez que la app ha sido descargada realiza alguna función, para conseguir que el usuario no la desinstale en el momento. Al mismo tiempo se suscribe con un Reciver de Android con el evento USER-PRESENT - en el libro de Desarrollo Android Seguro se explica en detalle el funcionamiento de los Recivers porque son muy utilizados por troyanos y RATs -. Este evento se genera cuando el usuario realiza una acción que despierta el sistema, como el desbloqueo del terminal.
Figura 3: Código que se ejecuta cuando se produce el evento de USER_PRESENT |
Cuando se produce el evento, este es capturado por el Receiver para que la app decida si le instala o no una nueva app a este usuario. Lo que hace para decidir si la instala o no es, primero esperar que haya pasado un día completo para que la víctima no asocie la descarga de la nueva app con la instalación de la app DOWNLOADER, y después lo hace 1 de cada 3 tres veces para que no ser demasiado agresivo.
Figura 4: Esquema de funcionamiento de la distribución de apps por estos downloaders |
La app a instalar se descargará desde un servidor controlado por el desarrollador de la app. Puedes ver las apps que está sirviendo ahora desde este enlace que puedes ver en el código, por si quieres analizar lo que le mete al usuario con el descargador.
Figura 5: Ruta de descarga de la app nueva |
Por supuesto se necesita que el sistema operativo haya permitido la instalación de apps desde otros markets, algo muy común en algunos países. Una vez que baja la app, se pide consentimiento al usuario, que verá como, una de cada tres veces, se le solicita la confirmación de la instalación de la app, hasta que este consienta en instalarla.
Figura 6: Parece una actualización pero es la instalación de una nueva app que hará negocios en tu Android |
Las apps DOWNLOADER que están haciendo esto
La lista de apps que pueden estar usando esta técnica es de más de 20, ya que son todas las que han sido localizadas con misma similitudes con Path 5. Los nombres de las apps están disponibles en el blog de Eleven Paths y muchas están disponibles en Google Play, como son las de estos dos desarrolladores LOL APPS y TV Gadgets que en realidad deben ser el mismo.
Figura 7: Dos cuentas del desarrollador utilizadas en la publicación de downloaders en Google Play |
Si tienes un MDM en tu empresa, ya sabes que tienes que bloquearlas y si eres un usuario ten mucho cuidado con lo que te bajas, que puede estar haciendo cosas similares. Si se te pide la instalación de apps sin saber cómo ni por qué, ten en cuenta que puede ser por algo como esto.
Saludos Malignos!
Y que hay de instalar cortafuegos tipo droidwall o afwall+, ¿no seria esta una practica recomendable para evitar que aplicaciones de este tipo puedan conectarse con servidores maliciosos y/o descargarse material indeseado?
ResponderEliminarLo comento porque no suelo ver recomendaciones respecto del uso de cortafuegos en android.
La mercantilización de todo lleva a estas cosas. Se ha corrompido y pervertido el significado de "vender" y "comprar" hasta límites insospechados.
ResponderEliminarChema, que medios de protección nos puede dar para los ataques espías por medio de instaladores o app de Android... O como identificar que ese programa es una mala elección para nosotros... Gracias por su atención
ResponderEliminarChema esto es un buen analisis de apk y no lo hace un antivirus :)
ResponderEliminar