25.12.13

QuizUp para Android: malware que te cuesta dinero mediante SMS Premium

Desde hace unos cuantos días estoy cacharreando con el teléfono Samsung Galaxy S4 que amablemente nos ha regalado el operador móvil a cambio de 24 meses más con él. Como hace años que soy usuario de iOS y he pasado por todos los modelos de iPhone desde el 3G hasta el 5s, un poco de diversidad no me hará daño... ¿O sí? Cuando termine mi mes de prueba con el S4 haré un artículo completo con mis impresiones. No quiero anticipar nada para evitar formarme una opinión sesgada desde el principio.

Ahora bien, cuando un CiberNinja comienza a usar una tecnología nueva no puede evitar fijarse en algunos aspectos curiosos, y el que ha motivado este artículo ha sido que me he encontrado mi primer malware en los primeros días. Dejadme contaros cómo fue.

Mi intención es tratar de trasladar toda mi experiencia de usuario de iOS al S4, por lo que me lancé a instalar algunas aplicaciones básicas para la vida digital, y algún jueguecillo que ocasionalmente me sirva para pensar en otras cosas durante unos minutejos. La aplicación que actualmente uso en IOS es QuizUp, que dicho sea de paso, no tiene aún aplicación para Android, como puede verse en la captura, obtenida el 25 de Diciembre de 2013.



Pues bien, al buscar QuizUp en Google Play, encontré que existía una aplicación bajo el nombre QuizUp, con el mismo logo, las capturas sacadas del iTunes Store de Apple y los textos copiados del mismo lugar. No lo dudé dos veces: tengo que descargarla y analizarla. La diversión está asegurada... pero no precisamente jugando al QuizUp, ya me entendéis :-)

Descargada la aplicación, al verificar los permisos que requería tenemos las primeras sospechas: quiere tener posibilidad de conocer el estado del WIFI, el estado del Teléfono, acceso completo a RED y gestionar alarmas.

Con un café al lado he decidido pasar la aplicación por el rodillo del "dex2jar" y decompilar el fichero jar obtenido. ¡Bingo!

Encontramos que la aplicación nos abre otra dirección en función del idioma de nuestro teléfono, como muestra el código:



En mi caso ("es") nos lleva a la dirección acortada http://goo.gl/NzlgS6, que apunta a una landing page para descarga de otra aplicación denominada "Applicateka", que se te descarga automáticamente y que además te ofrece instrucciones sobre cómo instalarla, información falsa sobre los permisos que reclama para uso y, por supuesto, cómo desactivar la verificación de firma de las aplicaciones.


La verificación de firma, como hemos visto, tampoco garantiza nada, porque nos ha traído hasta aquí una aplicación firmada (el fake de QuizUp), pero si lo desactivamos, abrimos aún más la puerta a quien quiera ejecutar cosas raras. ¿Qué nos hace pensar que Applicateka no descargará un montón de programitas sin firmar que nos harán mil fechorías en el teléfono? 

Bueno, centrando la vista en Applicateka, mismo procedimiento con Dex2Jar y con JAD para descompasar el binario al código fuente, y tras examinarlo un poco, salta a los ojos una combinación de prácticas que nos podría costar mucho dinero. La primera es el alta en un servicio de SMS premium y la segunda es la capacidad de interceptar los SMS recibidos y poder enviarlos.  



Unido a la capacidad de enviar SMS Premium, recibirlos y tener permisos para interceptarlos y que el usuario no sea consciente, podría conseguir que una tarde de responder preguntas sobre Logos y The Big Bang Theory se convierta en una odisea que cueste un montón de dinero y reclamaciones.

El hecho cierto es que Applicateka ya es un viejo conocido de los antivirus como enviado de SMS premium, sin embargo el dropper que nos descarga applicateka en nuestro móvil sólo estaba catalogado como un genérico en un motor de antivirus en Virus Total.



Y aunque no he descubierto América con este análisis, pues parece obvio que si QuizUp ha anunciado que aún no tiene una aplicación Android, huele muy mal encontrárnosla Google Play, es probable que haya habido mucha gente afectada por esta aplicación trampa, porque en apenas una semana QuizApp para IOS ha conseguido más de 1 millón de usuarios.

Lógicamente reporté la aplicación como maliciosa y Google la ha quitado de Google Play, sin embargo ha tardado 2,5 días desde que fueron avisados. En un juego con la tracción que está tendiendo QuizUp, el alcance de la estafa ha podido ser muy grande.

Quiero recordar que estoy hablando de una versión de QuizUp que vi por última vez en Google Play el 24 de Diciembre de 2013, que QuizUp NO tenía versión oficial de Android a esa fecha, que Google la ha retirado a petición mía y que estoy deseando que llegue la versión oficial para Android :-)

Y no tendría mucho sentido haber contado todo esto sin sacar la moraleja de la situación y los consejos:

1.- El proceso de verificación de aplicaciones de Google Play es una basura. No recuerdo haber visto una cosa siquiera parecida en el AppStore de Apple y, si bien todos sabemos que también tienen fallos (y nosotros mismos hemos aprovechado éstos fallos para algunas pruebas), la situación no es tan alucinante como en Google Play.

2.- Si el fabricante dice que no hay versión para Android, es que no hay versión para Android, no te empeñes en descargarlo, porque igual te llevas una sorpresa desagradable.

3.- Existe un interés económico detrás de este tipo de aplicaciones, por lo que el alcance de ser víctima de uno de estos ataques es, además de a la privacidad, a la billetera. Así que si ya no te preocupas tampoco por esto, mal vamos.

4.- Que los antivirus no están a la altura de las amenazas y que, si bien al usarlos evitamos algunos riesgos, aún estamos expuestos a otros de los que NO nos protegen. Así que muchísimo cuidado con lo que descargas, que el proveedor sea fiable, y que los permisos que solicite la aplicación no sean desproporcionados en relación con el objetivo de la misma. ¿Para qué querría una linterna acceder al envío de SMS?

Aprovecho para desearos unas Felices Navidades y un fantástico y seguro año 2014.

Pd.- Si quieres que te pase los APK para tu propio análisis, pídemelos por Twitter (@lencorredera)


No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.