El negocio de las “FakeApps” y el malware en Google Play (VII): Cómo llegan a las víctimas

Seguimos observando las apps falsas en Google Play, cómo se comportan y cómo funciona este negocio. Si en la anterior entrada estudiamos qué estrategias manuales sigue Google Play para limpiar su store e intentar mitigar el problema, ahora veremos cómo llegan las FakeApps a los usuarios. 

Los atacantes necesitan posicionar las aplicaciones en Google Play “lo más alto posible” al igual que en en cualquier buscador. Por tanto, el SEO clásico y el menos convencional (el conocido como black SEO) también son técnicas válidas (aunque quizás menos estudiadas) en el market. Desde el punto de vista del atacante, es imprescindible aparecer en las búsquedas o apps relacionadas, para cazar al usuario despistado y ocasional. De esta forma las aplicaciones aparecerán muy cerca de la aplicación que desean suplantar, y los usuarios la descargarán más. Cada instalación, supone algunos céntimos en publicidad.

Para conseguirlo, existen varias técnicas, basadas principalmente en la experiencia de cada desarrollador, puesto que no está documentada ninguna técnica que ofrezca mejores resultados. La verdadera popularidad alcanzada a través del mérito de la aplicación es la mejor, pero los atacantes manejan tiempos de semanas en el mejor de los casos, y no pueden esperar a que una app de mala calidad o que no es más que adware, se posicione en ese tiempo. Lo más habitual es aprovechar el nombre de aplicación que se quiere suplantar o con la que se quiere confundir además del texto explicación. La descripción de cada aplicación (el lugar donde se expone en qué consiste la app y las mejoras que incluye) permiten introducir cualquier tipo de texto. En él, los atacantes escriben todas las palabras que creen oportunas para que las víctimas lleguen a ellas. En este sentido, es muy parecido a las técnicas usadas con las páginas HTML y las keywords.

DescripcionEste es un ejemplo habitual que puede ocurrir en una descripción de Google Play. Una redacción llena de palabras sin sentido, que intenta que la app falsa aparezca cuando se buscan cualquiera de estas palabras.

Google permite este tipo de descripciones caóticas y sin sentido. Se ha dado la situación en las que la aplicación falsa aparece sospechosamente “cerca” de la real, invitando a la confusión. Mostramos con imágenes, a continuación, algunos ejemplos de resultados de búsquedas.

Cuatro posicionesEn esta imagen observamos hasta cuatro Minecraft falsos en las primeras posiciones de búsqueda.

Falso Top ElevenEl falso Top Eleven aparece en cuarta posición.

Si los grupos actúan a la vez, la búsqueda puede mostrar muchas apps falsas. Esta es una imagen tomada a principios de octubre de 2013 (un día especialmente complicado con muchas aplicaciones falsas), en el que una búsqueda del juego “Clash of clans” devolvía lo siguiente (las apps falsas están rodeadas con un círculo rojo).

Iconos identicosEn rojo, las apps con iconos idénticos a otras, pero totalmente falsas que contienen adware o malware.

Desde diciembre de 2013, esta situación ya no se da de forma tan vistosa. Google Play modificó sus políticas, e impidió que dos aplicaciones compartiesen iconos sospechosamente parecidos. Igualmente, impedía el uso de un nombre exactamente igual a una app ya en el Store. Desde entonces, esta “contaminación” es mucho menos común, pero se han llegado a niveles preocupantes hasta al año pasado.

Esto no significa que desde 2014 no existan FakeApps, sino que los atacantes han modificado sus hábitos.  Ahora deben utilizar iconos de app más sutiles, o añadir palabras a los nombres originales para sortear las restricciones de Google.

Clumsy NinjaFakeApp de Clumsy Ninja, cuando todavía no estaba disponible para Android.

En resumen, la forma de llegar a las víctimas se basa en una buen parte de ingeniería social, y bastante de black SEO.

 

Referencias

– Artículo original “El negocio de las “FakeApps” y el malware en Google Play (VII): Cómo llegan a las víctimas” escrito por Sergio de los Santos (ssantos@11paths.com, @ssantosv) el 7 de mayo de 2014 en ElevenPaths.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s