Autores
Hace algún tiempo atrás publiqué una entrada sobre “offerwalls” que recopilaban información sustraída a los usuarios. Pero parece que ahora no sólo los usuarios sufren ataques. Hace poco, mientras miraba Reddit, encontré la cuenta de un conocido desarrollador de aplicaciones que afirmaba que otro desarrollador de Android Market le había robado su aplicación, le había añadido un código spam, y la había subido en su cuenta y con el mismo nombre. Después de unas investigaciones, descubrí que era cierto.
La aplicación en cuestión, llamada ElectricSleep fue creada originalmente por Jon Wills. Puedes encontrarla
Según su descripción, ElectricSleep puede “mejorar la calidad de tu sueño gracias a su despertador inteligente. ElectricSleep es un despertador que registra tus ciclos de sueño y te despierta suavemente durante un ciclo de sueño liviano. Los datos de sueño que registra se guardan y analizan para que puedas entender y mejorar tus hábitos de sueño”.
Comparando la aplicación original con la versión robada, la primera señal obvia de la falsificación estaba en estos permisos:
La verdadera aplicación no solicita Permiso de lugar:
Entonces, cuando me puse a investigar qué es lo que hace la aplicación falsificada, descubrí que se le había añadido una biblioteca Pay-Per-Install al código original. Esta biblioteca viene como parte de un SDK de una compañía llamada AirPush:
Airpush hace exactamente lo que dice su nombre: empujar. Empuja diferentes tipos de avisos hacia los usuarios finales; estos avisos le generan ganancias al desarrollador de la aplicación, o en este caso, al falsificador. ¿Cuánto dinero se puede ganar? Según el sitio de Airpush:
“Los desarrolladores de Airpush ganan entre 6 USD y 40 USD de CPM”. CPM significa Coste por mil. Esto significa que Airpush paga al desarrollador por cada 1.000 impresiones realizadas. El valor del pago varía constantemente.
En realidad, lo que ha sucedido es que un desarrollador deshonesto descargó la aplicación creada por Wills, le añadió un código Pay-Per-Install y volvió a subir la aplicación modificada como si fuese suya, en una cuenta de desarrollador distinta. La aplicación falsificada ya ha sido bloqueada, pero la cuenta de desarrollador del falsificador permanece activa.
Sin duda alguna, los usuarios ya están hartos de la publicidad entrometida e impertinente. En consecuencia, otro desarrollador ha lanzado el “AirPushDetector” que es capaz de detectar códigos publicitarios instalados en aplicaciones. Aunque estos servicios Pay-Per-Install no son ilegales, pueden ser molestos, y el robo de aplicaciones para añadirles códigos publicitarios definitivamente viola el acuerdo de Licencia de desarrollador de Android.
Puedes encontrar AirPushDetector
Autores
De los mismos autores
En la misma categoría
Robando aplicaciones, instalando avisos