25.12.13

QuizUp para Android: malware que te cuesta dinero mediante SMS Premium

Desde hace unos cuantos días estoy cacharreando con el teléfono Samsung Galaxy S4 que amablemente nos ha regalado el operador móvil a cambio de 24 meses más con él. Como hace años que soy usuario de iOS y he pasado por todos los modelos de iPhone desde el 3G hasta el 5s, un poco de diversidad no me hará daño... ¿O sí? Cuando termine mi mes de prueba con el S4 haré un artículo completo con mis impresiones. No quiero anticipar nada para evitar formarme una opinión sesgada desde el principio.

Ahora bien, cuando un CiberNinja comienza a usar una tecnología nueva no puede evitar fijarse en algunos aspectos curiosos, y el que ha motivado este artículo ha sido que me he encontrado mi primer malware en los primeros días. Dejadme contaros cómo fue.

Mi intención es tratar de trasladar toda mi experiencia de usuario de iOS al S4, por lo que me lancé a instalar algunas aplicaciones básicas para la vida digital, y algún jueguecillo que ocasionalmente me sirva para pensar en otras cosas durante unos minutejos. La aplicación que actualmente uso en IOS es QuizUp, que dicho sea de paso, no tiene aún aplicación para Android, como puede verse en la captura, obtenida el 25 de Diciembre de 2013.



Pues bien, al buscar QuizUp en Google Play, encontré que existía una aplicación bajo el nombre QuizUp, con el mismo logo, las capturas sacadas del iTunes Store de Apple y los textos copiados del mismo lugar. No lo dudé dos veces: tengo que descargarla y analizarla. La diversión está asegurada... pero no precisamente jugando al QuizUp, ya me entendéis :-)

Descargada la aplicación, al verificar los permisos que requería tenemos las primeras sospechas: quiere tener posibilidad de conocer el estado del WIFI, el estado del Teléfono, acceso completo a RED y gestionar alarmas.

Con un café al lado he decidido pasar la aplicación por el rodillo del "dex2jar" y decompilar el fichero jar obtenido. ¡Bingo!

Encontramos que la aplicación nos abre otra dirección en función del idioma de nuestro teléfono, como muestra el código:



En mi caso ("es") nos lleva a la dirección acortada http://goo.gl/NzlgS6, que apunta a una landing page para descarga de otra aplicación denominada "Applicateka", que se te descarga automáticamente y que además te ofrece instrucciones sobre cómo instalarla, información falsa sobre los permisos que reclama para uso y, por supuesto, cómo desactivar la verificación de firma de las aplicaciones.


La verificación de firma, como hemos visto, tampoco garantiza nada, porque nos ha traído hasta aquí una aplicación firmada (el fake de QuizUp), pero si lo desactivamos, abrimos aún más la puerta a quien quiera ejecutar cosas raras. ¿Qué nos hace pensar que Applicateka no descargará un montón de programitas sin firmar que nos harán mil fechorías en el teléfono? 

Bueno, centrando la vista en Applicateka, mismo procedimiento con Dex2Jar y con JAD para descompasar el binario al código fuente, y tras examinarlo un poco, salta a los ojos una combinación de prácticas que nos podría costar mucho dinero. La primera es el alta en un servicio de SMS premium y la segunda es la capacidad de interceptar los SMS recibidos y poder enviarlos.  



Unido a la capacidad de enviar SMS Premium, recibirlos y tener permisos para interceptarlos y que el usuario no sea consciente, podría conseguir que una tarde de responder preguntas sobre Logos y The Big Bang Theory se convierta en una odisea que cueste un montón de dinero y reclamaciones.

El hecho cierto es que Applicateka ya es un viejo conocido de los antivirus como enviado de SMS premium, sin embargo el dropper que nos descarga applicateka en nuestro móvil sólo estaba catalogado como un genérico en un motor de antivirus en Virus Total.



Y aunque no he descubierto América con este análisis, pues parece obvio que si QuizUp ha anunciado que aún no tiene una aplicación Android, huele muy mal encontrárnosla Google Play, es probable que haya habido mucha gente afectada por esta aplicación trampa, porque en apenas una semana QuizApp para IOS ha conseguido más de 1 millón de usuarios.

Lógicamente reporté la aplicación como maliciosa y Google la ha quitado de Google Play, sin embargo ha tardado 2,5 días desde que fueron avisados. En un juego con la tracción que está tendiendo QuizUp, el alcance de la estafa ha podido ser muy grande.

Quiero recordar que estoy hablando de una versión de QuizUp que vi por última vez en Google Play el 24 de Diciembre de 2013, que QuizUp NO tenía versión oficial de Android a esa fecha, que Google la ha retirado a petición mía y que estoy deseando que llegue la versión oficial para Android :-)

Y no tendría mucho sentido haber contado todo esto sin sacar la moraleja de la situación y los consejos:

1.- El proceso de verificación de aplicaciones de Google Play es una basura. No recuerdo haber visto una cosa siquiera parecida en el AppStore de Apple y, si bien todos sabemos que también tienen fallos (y nosotros mismos hemos aprovechado éstos fallos para algunas pruebas), la situación no es tan alucinante como en Google Play.

2.- Si el fabricante dice que no hay versión para Android, es que no hay versión para Android, no te empeñes en descargarlo, porque igual te llevas una sorpresa desagradable.

3.- Existe un interés económico detrás de este tipo de aplicaciones, por lo que el alcance de ser víctima de uno de estos ataques es, además de a la privacidad, a la billetera. Así que si ya no te preocupas tampoco por esto, mal vamos.

4.- Que los antivirus no están a la altura de las amenazas y que, si bien al usarlos evitamos algunos riesgos, aún estamos expuestos a otros de los que NO nos protegen. Así que muchísimo cuidado con lo que descargas, que el proveedor sea fiable, y que los permisos que solicite la aplicación no sean desproporcionados en relación con el objetivo de la misma. ¿Para qué querría una linterna acceder al envío de SMS?

Aprovecho para desearos unas Felices Navidades y un fantástico y seguro año 2014.

Pd.- Si quieres que te pase los APK para tu propio análisis, pídemelos por Twitter (@lencorredera)


13.7.13

¿Cuánto hace que nos revisan las comunicaciones los gobiernos?

Editado por Luis Enrique Corredera de Colsa el día 13 de Julio de 2013 para ciberninja.com

Aunque para muchos era evidente que los gobiernos revisaban nuestras comunicaciones de forma sistemática, y que grandes empresas tenían puertas traseras en los sistemas para permitir la inspección por parte de los gobiernos, no ha sido hasta 2013, con la aparición de PRISM y Edward Snowden en los noticiarios cuando estas sospechas ha pasado de ser elucubraciones conspiranoicas a hechos probados que llegan al público.

Admitámoslo: nos vigilan. George Orwell podría levantar la cabeza y espetar un “os lo dije, y no me hicisteis caso”.  Pero deberíamos preguntaros: ¿realmente se ha convertido en realidad la ficción distópica de Orwell con el paso del tiempo?¿Desde cuando invierten los gobiernos en el espionaje y la intercepción de las comunicaciones? ¿Qué nos dice la historia de todo esto?

En anteriores artículos de Ciberninja.com y publicaciones en ElReservado.es hemos abordado el tema de la escritura secreta, y la continua lucha entre la protección de la intimidad, el uso de esta protección para asuntos de estado y el interés de los gobiernos por controlar la intimidad de los individuos justificando la intromisión con la manida idea de hacerlo por la seguridad y el bienestar, porque  ¿quién no quiere estar seguro y sin estrecheces?

A continuación recopilo para ti los artículos que hemos escrito sobre el secreto de las comunicaciones a lo largo de la historia, con la confianza de que aprenderemos de las lecciones del pasado para no cometer los mismos errores en el futuro.

Porque es imposible que descifren tus mensajes si no son capaces de encontrarlos, es importante conocer la esteganografía: el arte de esconder la información. Desde esconder mensajes en los adornos de la ropa, microfilmes en el tamaño del punto de un telegrama, o canales de comunicación encubiertos en Internet. http://www.ciberninja.com/2012/09/como-ocultar-informacion-ojos-ajenos.html

Pero en caso de que la información fuera descubierta, era necesario poder evitar que ésta revelara datos importantes para el interceptor. Es responsabilidad de los métodos de cifrado el mantener esta confidencialidad. Desde el siglo IV a.d.C. se describen las cifras como una de las 64 artes que deberían dominar las mujeres según el Kamasutra, siendo por tanto el primer uso para proteger la intimidad personal. La técnica fue llevada a los asuntos de estado por Julio César en la Guerra de las Galias, 3 siglos después. Con unos pequeños cambios en el método de Julio César mantendrían los secretos bien guardados durante casi 1000 años.  http://www.ciberninja.com/2011/11/la-criptografia-de-julio-cesar-y-el.html

Las técnicas de sustitución monoalfabética fueron abordadas de forma analítica por el erudito Al Kindi en el siglo IX d.C., evidenciando el interés de los estados por intervenir las comunicaciones ocultas ¿por asuntos de estado?¿por la seguridad de los habitantes? Sea como fuere, la reina Isabel I de Inglaterra le debió la vida a Al Kindi cuando pudo desmontar la conspiración Babington, organizada por su prima María Estuardo, reina de Escocia: http://www.ciberninja.com/2012/08/los-codigos-secretos-de-la-conspiracion.html

La sustitución monoalfabética ya estaba de sobra rota desde el siglo IX, pero no fue hasta el Renacimiento cuando se produjeron importantes avances en la forma de privatizar las conversaciones, una nueva corriente iniciada por la rueda León Alberti y la cifra indescifrable de Blaise de Vigènere: http://www.ciberninja.com/2012/08/los-trucos-que-utilizaban-en-el.html

Otra extendida técnica para evitar que los ojos ajenos lean nuestra información es la trasposición, que en lugar de usar diferentes alfabetos para codificar el mensaje, usa operaciones de intercambio de orden para los mensajes parezcan ininteligibles para los fisgones. http://www.ciberninja.com/2012/09/la-trasposicion-como-evitar-que-el.html

La mecanización del secreto y apertura de una nueva era de la información es un mérito que podemos atribuir a la temible máquina Enigma que usaron los alemanes durante la Segunda Guerra Mundial, y sobre la que puedes aprender más en este artículo: http://www.ciberninja.com/2012/08/los-secretos-de-enigma-la-maquina-de.html

Y finalmente, si quieres conocer cómo usar las tarjetas gráficas y sus GPU para romper claves acelerar el cálculo de cifras de días a minutos, no dejes de ver el artículo resumen de la conferencia y la demostración que hicimos en la décima edición de los Avances de Seguridad en Internet de la Universidad de Salamancahttp://www.ciberninja.com/2012/10/jugando-romper-claves-con-tarjetas.html


Y habiendo llegado hasta el siglo XX con nuestra revisión histórica, en nuestros siguientes artículos hablaremos de las herramientas de que disponemos hoy en día para mejorar nuestra privacidad, cómo ocultar nuestra información más preciada y proteger su transmisión a través de la red de los ojos indiscretos.