Hoy vengo a contar una historia curiosa y peculiar de cómo una persona haciendo uso de greyware es capaz de montarse un negocio robando los datos de personas que se descargan sus falsas apps de Google Play en un terminal Android.
De cómo lo hace, y de cómo actúa una persona así. Para que quede claro,
voy a comenzar la historia desde el principio, para que podáis seguir
todo el hilo de investigación y al final me deis vuestra opinión.
El Greyware y las apps en Google Play
Que en Google Play hay mucho adware no es algo que sea una novedad. Ya hace no mucho publiqué un artículo en el que creía que respecto al malware para Android ya se tiene el full-equip porque los estafadores han visto en él un canal propicio para llegar a las víctimas. Entre las cosas que campan por Google Play hay mucho greyware y adware. Muchas de ellas son aplicaciones que prometen cosas fantásticas de forma gratis, como cuando supuestamente Apple abrió una cuenta en Google Play para vender iWorks.
Es decir, software malicioso que roba datos engañando a los usuarios con
unas políticas de privacidad y términos legales de difícil acceso y
compresión, algo que se están encargando de hacer ilegal desde hace
tiempo, para exigir más claridad y menos estafadores como estos.
Unapp.es se hace una base de datos con tus datos
Google, periódicamente va tirando estas apps de Google Play cuando sus procesos de revisión interna, las casas de antimalware, usuarios o empresas de seguridad van denunciando las apps y los developers maliciosos. Normalmente Google tira al día una buena cantidad de apps que puede rondar entre las 800 o las 2.000 - según el día -. Unas de ellas fueron las apps del desarrollador Wert Exchanger, que fueron tiradas por Google Play de su tienda y que nos llevó a preguntarnos por qué.
Cuando fuimos a ver por qué Google Play las había tirado haciendo un poco de investigación interna pudimos confirmar que son apps que acceden a "demasiados" datos y que no hacen lo que prometen. Son fake apps
que engañan al usuario. Saber a cuáles son los datos a los que acceden
es fácil de comprobar, y mirando el código aparece esta sección que se
publicó en el blog de Eleven Paths en el que se aprecia que se lleva
datos del terminal para generar un buen fichero de datos personales que espero que tenga bien declarado en Agencia de Protección de Datos y con todas las medidas de seguridad pertinentes.
Dicho esto, en el código se puede ver un dominio unapp.es así que bastaba con saber quién ponía este código que se lleva los datos haciendo una búsqueda Whois para ver que detrás de él está Santiago M.A.
La ofensa y amenaza
Cuando lo publicamos escribió a un compañero diciendo que está en sus términos legales
la explicación de por qué se llevan esos datos - aunque no se notifica
al usuario que se van a llevar esos datos en concreto de los terminales Andorid -. Lo que dice la política es genial, es justo esto:
" Los datos recabados son los adecuados, pertinentes y no excesivos en relación con el ámbito, las finalidades y servicios determinados, explícitos y legítimos de Usatek S.C"
Adecuados, pertinentes y no excesivos. ¿El IMEI? Es curioso que la propia Google,
en su política de apps advierte de que esta práctica, sin un
consentimiento explícito del usuario para acceder al IMEI - explícito al
IMEI - está prohibida.
Figura 3: Política de Google Play de acceso al IMEI |
El número de apps que tiene haciendo esto, con este código es muy alto, actualmente unas decenas activas que al final del post os dejo con que desarrolladores las ha publicado.
El caso de una app falsa con la imagen de Menéame
Lo más gracioso, es que las apps que distribuye Santiago M.A. son falsas, ninguna hace lo que promete y utilizan técnicas agresivas para la difusión de la estafa. Uno de los usuarios activos que tiene ahora es Adrocia, donde se usa la imagen de Menéame, Google y un juego de niños.
Figura 4: El desarrollador Androcia mete el mismo código de fake app |
En el caso de Menéate, que usa la imagen de Menéame - además de llevarse los datos con el código que os he dejado en la Figura 2 - fuerza al usuario a poner 5 estrellas sí o sí, para poder usar la app.
Figura 5: Menéate con Menéame. Una fake app que te roba tus datos. |
Esto lo hace en todas las apps que publica, por ejemplo, bajo el desarrollador Androcia - uno de los que usa para este negocio -, y algunos usuario se han quejado abiertamente de esto en los comentarios que tienen que dejar.
Lo peor es que cuando te instalas una de sus apps, la política legal que te muestra es la que he explicado antes, y si no aceptas los términos legales, no pasa nada, a los 20 segundos da como que los has aceptado y NO se lleva los datos a su servidor. Ya sabes, tu nombre, email, IMEI, etcétera. Datos imprescindibles para ver el contenido según ellos.
Sin embargo, como lo que interesa es ganar dinero, los datos de la
persona sí que se envían al servidor de publicidad que está utilizando,
tal y como se puede ver en esta captura hecha con Burp sobre una esta app corriendo sobre un emulador de Android.
Por supuesto, una vez que la instalas, la app o no hace
nada, o te muestra unas bonitas animaciones que no tienen desperdicio,
como que está cargando algo. Lo más curioso es que encima de solo meter
una cutre-animación para simular que hacen algo las apps, el tipo utiliza la misma en un buen montón de apps. Mirad este flash de apps para robar WiFi.
Si miramos todos los dominios que usar para colgar estas animaciones, el chiringuito que tiene montado para ganar pasta con Adware haciendo fraude online es de un nivel de dispersión grande.
El resto de las apps que mantienen su negocio de greyware
Supongo que por este tipo de cosas, las apps son tiradas de Google Play, pero... el número de apps
utilizadas en esa estafa es muy grande. Así, además del primer
desarrollador que vinos antes que utilizaba esta estafa, hay muchos más y
en Eleven Paths estuvimos buscándolos.
El primero de los usuarios con apps haciendo esto mismo fue el usuario przyjaciele aktor, que por supuesto ya no está en Google Play, pero ahora sigue creando más usuarios desarrolladores, como por ejemplo Nave Real, donde Google Play ya le ha tirado algunas apps.
El primero de los usuarios con apps haciendo esto mismo fue el usuario przyjaciele aktor, que por supuesto ya no está en Google Play, pero ahora sigue creando más usuarios desarrolladores, como por ejemplo Nave Real, donde Google Play ya le ha tirado algunas apps.
En Multimedia apps, - activo ahora mismo - tiene la siguiente lista de apps. La lista de marcas son Antena3, Xplora, TVE, NASA, etcétera.
En estas que quedan, es fácil ver en el código el mismo segmento que está publicado en la Figura 2 para llevarse los datos. Otro usuario que Google Play ya ha tirado, utilizaba apps con la imagen de La Sexta, RTVE, Antena 3, Televisión de Galicia, alguna que otra linterna, etcétera. Se pueden ver las apps de "Marica non chores" en la caché de Google.
Otro de las cuentas de desarrollador que está utilizando en esta recolección de datos con falsas apps es Ricardo Cholete, usando la imagen de Discovery Channel, ESPN, Canal Historia o TeleSur.
También tiene un desarrollador con nombre celeron que se ha sumado a la fiesta de las falsas apps de WhatsApp.
Figura 13: Celeron también se suma al WhatsApp |
Otros desarrolladores que también uso fue Freida Ideal Desing & Program, Sestaapps, Sestao River The best, Piercing, Leti & Cia, Nay App, etcétera, que por suerte les han tirado ya todas las apps que publicaron. En la caché de Google puedes encontrar lo que hacían.
¿Para que robar todos estos datos?
La base de datos de tener asociado el IMEI, el número de teléfono y el correo electrónico puede venir bien para los que intentan meter un troyano bancario que robe los SMS de confirmación de operaciones cuando se sepa el nombre de correo electrónico. Es decir, supongamos que una persona está robando los usuarios y contraseñas de accesos bancarios con malware in the browser. Si roba también el correo electrónico, podría ser útil comprar una base de datos que sepa exactamente en qué terminal es en el que hay que meter el troyano, pero esto... esto solo es una suposición.
En definitiva, las apps que genera la empresa de Santiago M.A. no están hechas para hacerte ningún bien, y desde el inicio son aplicaciones fraudulentas hechas con el objetivo único de robarte los datos y ganar pasta con la publicidad que consigan que te envíen. Esperemos que Google endurezca los controles para evitar que este tipo de apps proliferen tan alegremente.
La base de datos de tener asociado el IMEI, el número de teléfono y el correo electrónico puede venir bien para los que intentan meter un troyano bancario que robe los SMS de confirmación de operaciones cuando se sepa el nombre de correo electrónico. Es decir, supongamos que una persona está robando los usuarios y contraseñas de accesos bancarios con malware in the browser. Si roba también el correo electrónico, podría ser útil comprar una base de datos que sepa exactamente en qué terminal es en el que hay que meter el troyano, pero esto... esto solo es una suposición.
En definitiva, las apps que genera la empresa de Santiago M.A. no están hechas para hacerte ningún bien, y desde el inicio son aplicaciones fraudulentas hechas con el objetivo único de robarte los datos y ganar pasta con la publicidad que consigan que te envíen. Esperemos que Google endurezca los controles para evitar que este tipo de apps proliferen tan alegremente.