Cuidado: apps que solo disparan publicidad se hacen pasar por aplicaciones de seguridad

Cuidado: supuestas apps de seguridad solo buscan mostrarte publicidad

Investigadores de ESET analizaron un nuevo set de aplicaciones recientemente descubiertas en Google Play, la tienda oficial de aplicaciones para Android de Google, que figuran como aplicaciones de seguridad. Pero en lugar de seguridad, lo que en realidad aportan es publicidad no deseada y una pseudo-seguridad inefectiva.

Investigadores de ESET analizaron un nuevo set de aplicaciones recientemente descubiertas en Google Play, la tienda oficial de aplicaciones para Android de Google, que figuran como aplicaciones de seguridad. Pero en lugar de seguridad, lo que en realidad aportan es publicidad no deseada y una pseudo-seguridad inefectiva.

De acuerdo a AV-Comparatives, una organización independiente encargada de realizar pruebas sobre los distintos antivirus, existen diferencias significativas en el nivel de protección que ofrecen las distintas soluciones de seguridad para móviles. Sin embargo, hasta la más pobre de ellas sigue siendo lo suficientemente mejor que las cuestionables aplicaciones que se hacen pasar por apps de seguridad para mostrar publicidad a los usuarios. En este sentido, fueron 35 las aplicaciones dudosas de este tipo que fueron recientemente descubiertas en la tienda oficial de aplicaciones para Android, Google Play.

Estas apps han pasado desapercibidas por un par de años, con estadísticas en Google Play que indicaban un acumulado de seis millones de instalaciones.  Sin embargo, esas cifras no necesariamente reflejaban instalaciones reales: es una práctica común hacer descargas falsas mediante bots que inmediatamente después marcan una calificación positiva mejorando la valoración general de la aplicación.

Las 35 aplicaciones fueron alertadas por ESET y eventualmente removidas de la tienda.

Imagen 1 - Las 35 aplicaciones dudosas en Google Play

Imagen 1 – Las 35 aplicaciones dudosas en Google Play

Además de molestar a sus víctimas con publicidad, considerar que estas aplicaciones funcionan como soluciones de seguridad también tiene serios efectos negativos. Al imitar funciones básicas de seguridad, ─de hecho, todas actúan como soluciones de seguridad basándose en unas pocas reglas triviales de código- frecuentemente sucede que detectan aplicaciones legítimas como maliciosas. Por último y no menos importante, crean un falso sentido de seguridad en las víctimas, dejándolas expuestas a riesgos reales de aplicaciones maliciosas que no son detectadas como tales.

Los análisis de ESET mostraron que de las 35 aplicaciones analizadas solo unas pocas se destacaban por las funciones especificadas: una aplicación no es completamente gratuita ya que ofrece una versión “mejorada” pero paga; otra app implementó un administrador de bloqueo de aplicaciones básico y con la posibilidad de desactivarlo fácilmente; otra app alerta sobre otras aplicaciones (del grupo de las 35) como peligrosas por defecto; y finalmente, un caso de mal uso de la marca ESET.

Imagen 2 - Una de las 35 apps detectando a otra aplicación similar como una amenaza de "alto riesgo"

Imagen 2 – Una de las 35 apps detectando a otra aplicación similar como una amenaza de “alto riesgo”

Imagen 3 - Una de las aplicaciones alertandose a sí misma como de "alto riesgo"

Imagen 3 – Una de las aplicaciones alertandose a sí misma como de “alto riesgo”

Imagen 4 - Una de las aplicaciones ofreciendo suscribirse al "plan Pro"

Imagen 4 – Una de las aplicaciones ofreciendo suscribirse al “plan Pro”

Imitación de la funcionalidad de seguridad

Con el fin de no llamar mucho la atención, todas las aplicaciones que despliegan publicidad intentan imitar verdaderas soluciones de seguridad para móviles. Sin embargo, sus mecanismos de detección están incompletos y/o son extremadamente básicos, lo que los hace fáciles de eludir y propensos a detectar falsos positivos.

Nuestra investigación sobre estas cuestionables aplicaciones ha demostrado que sus “mecanismos de detección” pueden dividirse entre cuatro categorías. A su vez, estos mecanismos son idénticos o casi idénticos a lo largo de todas las aplicaciones.

1) Lista blanca y negra del nombre del servicio

Esta “lista blanca” incluye aplicaciones populares como Facebook, Instagram, LinkedIn, Skype y otras. La “lista negra” contiene muy pocos elementos para ser considerada una funcionalidad de seguridad.

Imagen 5 – Creando una lista blanca (Whitelisting) de aplicaciones populares

Imagen 5 – Creando una lista blanca (Whitelisting) de aplicaciones populares

2) Administración de permisos

Se alerta sobre todas las aplicaciones (incluidas las legítimas) en caso de requerir permisos considerados como peligrosos, tales como enviar y recibir SMS, acceso a datos de ubicación, acceso a la cámara, etc.

Imagen 6 – Lista negra de permisos

Imagen 6 – Lista negra de permisos

3) Según la fuente

Todas las aplicaciones, excepto las de la tienda oficial de Android, Google Play, son observadas ─incluso si son completamente benignas.

4) Según la presencia de actividades en la lista negra

Todas las aplicaciones que contienen alguna funcionalidad, como parte de la aplicación, incluida dentro de la lista negra de actividades. Esto se refiere principalmente a algunas funcionalidades de visualización de publicidad.

Se alerta sobre todas las aplicaciones que contienen cualquiera de las actividades incluidas en la lista negra; es decir: paquetes de aplicaciones que son usados en aplicaciones. Estos paquetes pueden manejar funcionalidades adicionales (generalmente actividades de visualización de publicidad).

Mientras que no hay nada malo con algunas de las actividades de lista negra de actividades, el problema está en que en estas aplicaciones dudosas la implementación de estas actividades se realiza con descuido. Por ejemplo, Google Ads se incluye en la lista negra a pesar ser un servicio legítimo. Y pese a esto, este servicio es implementado en todas las aplicaciones sospechosas que analizamos.

Imagen 7 - Lista negra de actividad

Imagen 7 – Lista negra de actividad

“Funcionalidades” de seguridad adicionales

Algunas aplicaciones de seguridad dudosas son capaces de proteger las aplicaciones del usuario mediante una contraseña o patrón de desbloqueo. La idea detrás de esta aparentemente útil funcionalidad es proveer al usuario con una capa adicional de seguridad en las aplicaciones elegidas.

Sin embargo, debido a implementaciones inseguras, esta funcionalidad también falla a la hora de brindar verdadera seguridad al usuario.

El problema es que la información importante no es almacenada de forma segura en el dispositivo ─en lugar de utilizar cifrado, lo cual es una práctica común en ciberseguridad, estas aplicaciones almacenan los nombres de las aplicaciones bloqueadas y las contraseñas para desbloquearlas como código plano.

Esto quiere decir que se puede acceder a los datos una vez que el dispositivo es “rooteado”.

A pesar de comprometer los datos no cifrados al “rootear” el teléfono, hay otra alternativa para evadir el bloqueo de la aplicación. Un atacante con acceso físico al dispositivo puede modificar la contraseña de bloqueo sin saber cómo era la antigua.

Imagen 8 – Funcionalidad de bloqueo de una de las apps cuestionables donde se puede apreciar cómo almacena información del usuario en texto plano

Imagen 8 – Funcionalidad de bloqueo de una de las apps cuestionables donde se puede apreciar cómo almacena información del usuario en texto plano

Conclusión

Tener una solución de seguridad instalada en un dispositivo con Android es definitivamente algo positivo. Sin embargo, no todas las funciones de “seguridad” o de “antivirus” de las aplicaciones cumplen con lo que prometen.

Las 35 pseudo aplicaciones de seguridad que se describieron en este artículo no representan una amenaza como podría ser un ransomware u otro tipo de malware potente. El único daño que causan es desplegar publicidad molesta, realizar detecciones que resultan ser falsos positivos y dar a los usuarios un falso sentido de seguridad. Sin embargo, esos millones de usuarios poco conscientes que las descargan pueden fácilmente terminar descargando verdaderos malware disfrazados de una forma similar.

En lugar de aplicaciones sospechosas con nombres atractivos y extravagantes, y promesas con pocos fundamentos, mejor buscar una solución de seguridad que goce de más reputación. ¿Y cuál elegir? Un test independiente de alguna organización respetable que se dedique a realizar este tipo de pruebas podría ser de ayuda.

IoCs

Nombre de detección de ESET :

Android/Blacklister.A application potentially unwanted

App NamePackage NameInstalls
Virus Cleaner Antivirus 2017 - Clean Virus Boostercom.sta.viruscleaner.antivirus1,000,000+
Super Antivirus & Virus Cleaner (Applock, Cleaner)com.superantivirus.mobilesecurity1,000,000+
hAntivirus - Securitycom.noah.antivirus1,000,000+
Antivirus Security freecom.xplusapps.antivirus.free500,000+
Antivirus 2018com.gotechgo.antivirus.mobilesecurity2018500,000+
Antivirus Cleancom.mobileapp.virus500,000+
Security Antivirus 2018muel.security.antivirus500,000+
Max Security - Antivirus&Booster &Cleanercom.stranger.maxsecurity500,000+
Antivirus Cleaner - Virus Scanner And Junk Removercom.applock.security.viruscleaner100,000+
Antivirus Security Freecom.rgamewall.anti2018100,000+
Antivirus Cleaner For Android & App Locker Patterncom.antivirusforandroid.freeapp100,000+
Antivirus Securitydhl.freesecure100,000+
Smadav antivirus for android 2018com.smallapp.antivirus50,000+
Antivirus Free : Process Viruscom.greenbooster.process50,000+
TV Antivirus Free + Applocktoto.prosecurity50,000+
Antivirus Virus Cleaner - Security Applock 2017com.viruscleaner.antivirus.security50,000+
Super Security-Anti Virus, Phone Cleaner & Boostercom.supersecurity.cleaner10,000+
Antivirus Free + Virus Cleaner + Security Appantivirus.cleaner.security.scanner10,000+
Antivirus Pro - Virus Cleaner - Boost Mobile freecom.fantabulous.antiviruspro.viruscleaner10,000+
Virus Clean Antivirus - Cpu Cooler & Ram Mastercom.msysoft.viruscleaner.cleanvirus10,000+
360 Secure Antiviruscom.ufgames.antivirus10,000+
Antivirus Cleaner Boostercom.best.apps.collection.antivirus10,000+
Antivirus Android 2018com.looptoop.antivirus.android201810,000+
Antivirus & Virus Remover 2018com.glagahstudio.viruscleaner.booster10,000+
Antivirus Free 2018com.lalbazai.antivirus.mobilesecurity20185,000+
Kara Security Manager Antiviruskara.securitymanager.antivirus5,000+
Security Antivirus 2018jts.security.mobile5,000+
Antivirus & Virus Cleaner & Securityoriwa.antivirus.cleanvirus5,000+
Master Antivirus Booster App Lockcom.boostercleaner.antivirus.mobilesecurity5,000+
Virus Cleaner - Antivirus,Booster,Security&AppLockcom.radiantappsworld.securityantivirus5,000+
Smart Security Antivirus & Applocker & Cleanerorg.orangina.antivirusmobilesecurity1,000+
Antivirus 2017 & Virus Removalcom.bsm.multisecurity1,000+
Energy Antivirus Cleanercom.energy.antivirus.cleaner1,000+
Antivirus Master-Applock Procom.octa.anti.antivirus500+
AntiVirus Mobile Security for Android - Freecom.mobicluster.mobile.security.antivirus100+

Discusión