News

Robando aplicaciones, instalando avisos

Hace algún tiempo atrás publiqué una entrada sobre “offerwalls” que recopilaban información sustraída a los usuarios. Pero parece que ahora no sólo los usuarios sufren ataques. Hace poco, mientras miraba Reddit, encontré la cuenta de un conocido desarrollador de aplicaciones que afirmaba que otro desarrollador de Android Market le había robado su aplicación, le había añadido un código spam, y la había subido en su cuenta y con el mismo nombre. Después de unas investigaciones, descubrí que era cierto.

La aplicación en cuestión, llamada ElectricSleep fue creada originalmente por Jon Wills. Puedes encontrarla

AQUÍ

Según su descripción, ElectricSleep puede “mejorar la calidad de tu sueño gracias a su despertador inteligente. ElectricSleep es un despertador que registra tus ciclos de sueño y te despierta suavemente durante un ciclo de sueño liviano. Los datos de sueño que registra se guardan y analizan para que puedas entender y mejorar tus hábitos de sueño”.

Comparando la aplicación original con la versión robada, la primera señal obvia de la falsificación estaba en estos permisos:

La verdadera aplicación no solicita Permiso de lugar:

Entonces, cuando me puse a investigar qué es lo que hace la aplicación falsificada, descubrí que se le había añadido una biblioteca Pay-Per-Install al código original. Esta biblioteca viene como parte de un SDK de una compañía llamada AirPush:

Airpush hace exactamente lo que dice su nombre: empujar. Empuja diferentes tipos de avisos hacia los usuarios finales; estos avisos le generan ganancias al desarrollador de la aplicación, o en este caso, al falsificador. ¿Cuánto dinero se puede ganar? Según el sitio de Airpush:

“Los desarrolladores de Airpush ganan entre 6 USD y 40 USD de CPM”. CPM significa Coste por mil. Esto significa que Airpush paga al desarrollador por cada 1.000 impresiones realizadas. El valor del pago varía constantemente.

En realidad, lo que ha sucedido es que un desarrollador deshonesto descargó la aplicación creada por Wills, le añadió un código Pay-Per-Install y volvió a subir la aplicación modificada como si fuese suya, en una cuenta de desarrollador distinta. La aplicación falsificada ya ha sido bloqueada, pero la cuenta de desarrollador del falsificador permanece activa.

Sin duda alguna, los usuarios ya están hartos de la publicidad entrometida e impertinente. En consecuencia, otro desarrollador ha lanzado el “AirPushDetector” que es capaz de detectar códigos publicitarios instalados en aplicaciones. Aunque estos servicios Pay-Per-Install no son ilegales, pueden ser molestos, y el robo de aplicaciones para añadirles códigos publicitarios definitivamente viola el acuerdo de Licencia de desarrollador de Android.

Puedes encontrar AirPushDetector

AQUÍ

Robando aplicaciones, instalando avisos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada