martes, 3 de junio de 2014

Unos estafadores utilizan la imagen de La Sexta, RTVE, Menéame o Antena3 para robar tus datos de tu Android

Hoy os vengo a contar una historio curiosa y peculiar de cómo una persona haciendo uso de greyware es capaz de montarse un negocio robando los datos de personas que se descargan sus falsas apps de Google Play en un terminal Android. De cómo lo hace, y de cómo actúa una persona así. Para que quede claro, voy a comenzar la historia desde el principio, para que podáis seguir todo el hilo de investigación y al final me deis vuestra opinión.

El Greyware y las apps en Google Play

Que en Google Play hay mucho adware no es algo que sea una novedad. Ya hace no mucho publiqué un artículo en el que creía que respecto al malware para Android ya se tiene el full-equip porque los estafadores han visto en él un canal propicio para llegar a las víctimas. Entre las cosas que campan por Google Play hay muchogreyware, spyware y adware. Muchas de ellas son aplicaciones que prometen cosas fantásticas de forma gratis, como cuando supuestamente Apple abrió una cuenta en Google Play para vender iWorks.

Figura 1: Un falso desarrollador vendiendo falsas apps de Apple

Es decir, software malicioso que roba datos engañando a los usuarios con unas políticas de privacidad y términos legales de difícil acceso y compresión, algo que se están encargando de hacer ilegal desde hace tiempo, para exigir más claridad y menos estafadores como estos.

Unapp.es se hace una base de datos con tus datos

Google, periódicamente va tirando estas apps de Google Play cuando sus procesos de revisión interna, las casas de antimalware, usuarios o empresas de seguridad van denunciando las apps y los developers maliciosos. Normalmente Google tira al día una buena cantidad de apps que puede rondar entre las 800 o las 2.000 - según el día -. Unas de ellas fueron las apps del desarrollador Wert Exchanger, que fueron tiradas por Google Play de su tienda  y que nos llevó a preguntarnos por qué.

Cuando fuimos a ver por qué Google Play las había tirado haciendo un poco de investigación interna pudimos confirmar que son apps que acceden a "demasiados" datos y que no hacen lo que prometen. Son fake apps que engañan al usuario. Saber a cuáles son los datos a los que acceden es fácil de comprobar, y mirando el código aparece esta sección que se publicó en el blog de Eleven Paths en el que se aprecia que se lleva datos del terminal para generar un buen fichero de datos personales que espero que tenga bien declarado en Agencia de Protección de Datos y con todas las medidas de seguridad pertinentes.

Figura 2: El código que se lleva los datos a un servidor llamado bd.unapp.es

Dicho esto, en el código se puede ver un dominio unapp.es así que bastaba con saber quién ponía este código que se lleva los datos.

La ofensa y amenaza

Cuando lo publicamos escribió a un compañero diciendo que está en sus términos legales la explicación de por qué se llevan esos datos - aunque no se notifica al usuario que se van a llevar esos datos en concreto de los terminales Andorid -. Lo que dice la política es genial, es justo esto:
" Los datos recabados son los adecuados, pertinentes y no excesivos en relación con el ámbito, las finalidades y servicios determinados, explícitos y legítimos de Usatek S.C"

Figura 3: Política de Google Play de acceso al IMEI

El número de apps que tiene haciendo esto, con este código es muy alto, actualmente unas decenas activas que al final del post os dejo con que desarrolladores las ha publicado.

El caso de una app falsa con la imagen de Menéame

Lo más gracioso, es que las apps que se distribuyen son fake-apps, y no hacen lo que prometen o no están activas y utilizan técnicas agresivas para la difusión. Uno de los usuarios activos que tiene ahora es Adrocia, donde se usa la imagen deMenéameGoogle y un juego de niños.
Figura 4: El desarrollador Androcia mete el mismo código de fake app

En el caso de Menéate, que usa la imagen de Menéame - además de llevarse los datos con el código que os he dejado en la Figura 2 - fuerza al usuario a poner 5 estrellas sí o sí, para poder usar la app.
Figura 5: Menéate con Menéame. Una fake app que te roba tus datos.

Esto lo hace en todas las apps que publica, por ejemplo, bajo el desarrollador Androcia - uno de los que usa para este negocio -, y algunos usuario se han quejado abiertamente de esto en los comentarios que tienen que dejar.
Figura 6: Comentarios de obligación

Lo peor es que cuando te instalas una de sus apps, la política legal que te muestra es la que he explicado antes, y si no aceptas los términos legales, no pasa nada, a los 20 segundos da como que los has aceptado y NO se lleva los datos a su servidor. Ya sabes, tu nombre, email, etcétera. Datos imprescindibles para ver el contenido según ellos.
Figura 7: A los 20 segundos te automáticamente da por aceptada la política

Sin embargo, como lo que interesa es ganar dinero, los datos de la persona sí que se envían al servidor de publicidad que está utilizando, tal y como se puede ver en esta captura hecha con Burp sobre una esta app corriendo sobre un emulador deAndroid.
Figura 8: Como se puede ver, se envían los datos a un servidor incluso sin aceptar la política

Por supuesto, una vez que la instalas, la app o no hace nada, o te muestra unas bonitas animaciones que no tienen desperdicio, como que está cargando algo. Lo más curioso es que encima de solo meter una cutre-animación para simular que hacen algo las apps, el tipo utiliza la misma en un buen montón de apps. Mirad este flash de apps para robar WiFi.
Figura 9: Una de las animaciones que usa en sus fake apps de hacking WiFi

Si miramos todos los dominios que usar para colgar estas animaciones, el chiringuito que tiene montado para ganar pasta con Adware & spyware haciendo fraude onlinees de un nivel de dispersión grande.

El resto de las apps que mantienen su negocio de greyware

Supongo que por este tipo de cosas, las apps son tiradas de Google Play, pero... el número de apps utilizadas en este negocio es muy grande. Así, además del primer desarrollador que vinos antes que utilizaba este negocio, hay muchos más y enEleven Paths estuvimos buscándolos.

El primero de los usuarios con apps haciendo esto mismo fue el usuario przyjaciele aktor, que por supuesto ya no está en Google Play, pero ahora sigue creando más usuarios desarrolladores, como por ejemplo Nave Real, donde Google Play ya le ha tirado algunas apps.
Figura 9: Las apps de Nave Real, un desarrollador que roba igualmente los datos

En Multimedia apps, - activo ahora mismo - tiene la siguiente lista de apps. La lista de marcas son Antena3, Xplora, TVE, NASA, etcétera.
Figura 10: Las apps de Multimedia apps

En estas que quedan, es fácil ver en el código el mismo segmento que está publicado en la Figura 2 para llevarse los datos. Otro usuario que Google Play ya ha tirado, utilizaba apps con la imagen de La Sexta, RTVE, Antena 3, Televisión de Galicia, alguna que otra linterna, etcétera. Se pueden ver las apps de "Marica non chores" en la caché de Google.

Figura 11: Apps de Marica non chores que usaban el mismo código

Otro de las cuentas de desarrollador que está utilizando en esta recolección de datos con apps es Ricardo Cholete, usando la imagen de Discovery Channel, ESPN, Canal Historia o TeleSur.

Figura 12: Apps de Ricardo Cholete

También tiene un desarrollador con nombre celeron que se ha sumado a la fiesta de las apps de WhatsApp.
Figura 13: Celeron también se suma al WhatsApp

Otros desarrolladores que también uso fue Freida Ideal Desing & Program,SestaappsSestao River The bestPiercingLeti & Cia, Nay App, etcétera, que por suerte les han tirado ya todas las apps que publicaron. En la caché de Googlepuedes encontrar lo que hacían.
¿Para que robar todos estos datos?

Tener asociado el IMEI, el número de teléfono y el correo electrónico en una base de datos podría venir bien para los que intentan meter un troyano bancario que robe losSMS de confirmación de operaciones cuando se sepa el nombre de correo electrónico. Es decir, supongamos que una persona está robando los usuarios y contraseñas de accesos bancarios con malware in the browser. Si roba también el correo electrónico, podría ser útil comprar una base de datos que sepa exactamente en qué terminal es en el que hay que meter el troyano, pero esto... esto solo es una suposición.

En definitiva, las apps que genera esta empresa no están hechas para hacerte ningún bien, y desde el inicio son aplicaciones hechas con el objetivo único de robarte los datos y ganar pasta con la publicidad que consigan que te envíen todos los que se lleven tus datos. Esperemos que Google endurezca los controles para evitar que este tipo de apps proliferen tan alegremente.

Saludos.
Lexer Pars.

No hay comentarios:

Publicar un comentario