Seguimos observando las apps falsas en Google Play. En esta entrada estudiaremos qué estrategias sigue Google Play para limpiar su store e intentar mitigar el problema. ¿Qué herramientas utiliza? ¿Cuánto tarda en retirar apps? ¿Cuántas retira?
Los esfuerzos de limpieza: Bouncer
En febrero de 2012, Google lanza Bouncer. Se trataba de una especie de filtro (sandbox) por la que pasarían las apps antes de ser publicadas. Pretendía, por un lado, detectar y eliminar las amenazas antes de subirlas al repositorio. Por otro, estudiar a los desarrolladores y denegar el acceso a posibles defraudadores. Aunque se trataba de una buena medida, parece que no ha conseguido completamente su objetivo por varias razones.
¿Han subido las cifras?
El malware sigue siendo un problema en Google Play. Para algunas compañías, incluso ha empeorado. Según RiskIQ, en 2011 existían 11.000 apps en Google Play que contenían malware capaz de robar información o hacer fraude. En 2013, se eleva a 42.000. Esto suena muy escandaloso, pero el número de apps almacenadas ha subido también considerablemente, por tanto es mejor acudir a los términos relativos (que no aparecen en los titulares). Esto supone que según RiskIQ en Google Play había un 2.7% de apps maliciosas en 2011, 9.2% en 2012 y 12.7% en 2013.
¿Son estos datos precisos o se exageran porque RiskIQ vende un producto que intenta luchar precisamente contra ese problema? No podemos estar al 100% seguros. Por ejemplo, no queda claro por qué en el informe se habla de 42.000 apps maliciosas y que esto supone un 12.7% de Google Play. Si es así, hablaríamos de poco más de 332.000 aplicaciones, cuando existen muchas (muchísimas) más apps en esa Store. También puede incluso que el dato sea peor, debido a (como siempre) el problema de clasificar el malware. ¿Se le escapa malware? Depende de sus técnicas. En concreto RiskIQ parece que huye de firmas, y que analiza el comportamiento directamente en el tráfico, con un sistema que emula usuarios reales. En principio no parece una mala aproximación. También especifica qué es malware para ellos. Literalmente dicen que «RiskIQ solo cuenta apps de Android en Google Play como maliciosas si son o contienen spyware y troyanos SMS que»:
- Recojan coordenadas GPS, lista de contactos, emails, etc. par terceros.
- Envíen mensajes premium.
- Suscriban el teléfono a servicios premium.
- Graben conversaciones y las envíen a atacantes.
- Permitan tomar el control del teléfono infectado.
- Descarguen otro malware a los teléfonos infectados.
RiskIQ pone la guinda añadiendo que además de existir más malware, es retirado más lentamente del Store. En 2011 se retiraban un 60% de las apps maliciosas, en 2012 un 40% y en 2013 un 23%. Aunque este dato requiere conocer cuánto tiempo de margen se da a Google Play para que retire una aplicación, y eso tampoco queda claro.
App retirada en Google Play
Bouncer ha sido eludido en varias ocasiones
Una sandbox, por simple diseño del programa, puede no detener malware. Por ejemplo, unos meses después de su lanzamiento, en junio de 2012, Jon Oberheide y Charlie Miller descubrieron que Bounce utiliza un entorno virtual QEMU y que todas las solicitudes de Google procedían de un bloque de IPs específico. Los investigadores crearon y enviaron aplicaciones falsas a Google Play que se dedicaron a registrar los procesos del sistema y lanzar una conexión inversa a sus propios servidores cuando eran ejecutadas en Bouncer. Así demostraron varios puntos débiles, que pueden ser aprovechados fácilmente por los desarrolladores de código malicioso implementando aplicaciones que se comporten como legítimas cuando se detecten corriendo en ese entorno virtual específico.
Luis Delgado, como prueba de concepto, también fue capaz de subir una app con capacidades de control remoto a principios de 2012, disfrazada de programa que solo necesitaba acceso a la red.
Bloxor, creada en 2012 como prueba de concepto.
Trustwave explicó también en la conferencia de seguridad Black Hat 2012 en Las Vegas que es posible eludir el sistema Bouncer con una aplicación maliciosa, pero con otros métodos. Nicolas Percoco y Sean Schulte desarrollaron SMS Bloxor, una aplicación para bloquear los mensajes de texto procedentes de determinados números de teléfono… pero que además robaba datos personales tales como fotos, mensajes de texto, contactos, registros de llamadas, e incluso podía realizar ataques de denegación de servicio. Para conseguirlo, reprimían el comportamiento malicioso de la aplicación cada vez que detectaba que estaba siendo analizada por Bouncer. Además, idearon un puente JavaScript, una solución legítima que permitía a los desarrolladores añadir nuevas características maliciosas de forma remota a aplicaciones que ya habían sido aceptadas. Mantuvieron la app en Google Play durante semanas, cada vez añadiendo más comportamiento malicioso. Para evitar que fuese descargada, se puso a un precio desorbitado.
El problema de eludir las sandbox no es nuevo ni fácil de solucionar. Las casas antivirus desde siempre se han enfrentado a elusiones de sistemas de sandbox (las que utilizan para la clasificación rápida y automática de malware) y al comportamiento de los programas como malware «en diferido», tras pasar por la sandbox como legítimos. Y aun hoy, siguen luchando contra estas técnicas que los atacantes ponen habitualmente en práctica.
Muchas de estas técnicas, actualmente ya no son posibles tal y como fueron descubiertas, gracias a mejoras introducidas en el sistema, pero no por ello imposibles de conseguir.
Atacantes reincidentes
No es del todo cierto que a los atacantes se les deniegue el acceso y se les suspenda la cuenta cuando suben apps fraudulentas y estas son detectadas. Hemos visto cómo Google Play retiraba apps de un developer fraudulento (con infracciones graves), sin retirarle la cuenta. El último ejemplo es bastante reciente con el malware que minaba criptomonedas.
En la próxima entrega incidiremos sobre cuánto tardan las apps en ser retiradas y en otros métodos de limpieza.
Referencias
– Artículo original «El negocio de las «FakeApps» y el malware en Google Play (V): Limpieza automática» escrito por Sergio de los Santos (ssantos@11paths.com, @ssantosv) el 7 de abril de 2014 en ElevenPaths.
El gato inquieto 