Inicio / Blog / ¿Sirven algunas aplicaciones de Android para estafar?

¿Sirven algunas aplicaciones de Android para estafar?

Publicado el 14/05/2014, por INCIBE
SMS Premium

Echando un vistazo a los foros de las principales compañías telefónicas, se pueden leer gran cantidad de post en los que usuarios narran sus experiencias negativas frente a servicios SMS Premium, y en los que muestran su descontento y solicitan una solución.

Analizando una aplicación para Android, comprobamos que disponía de una funcionalidad que se ajustaba bastante con algunos de los comentarios existentes en estos foros, por lo que procedimos a realizar un análisis en mayor profundidad. Para ello utilizamos la utilidad APKtool, la cual permite realizar un análisis estático de una APK de modo que se pueda visualizar correctamente gran parte de su funcionalidad.

Una vez decompilada, echamos un vistazo al fichero AndroidManifest.xml y observamos que solicitaba los siguientes permisos:

Permisos

Entre todos ellos destacaban los permisos de envío, escritura, recepción y lectura de mensajes de texto.

Posteriormente, comprobamos el fichero res\values\strings.xml que contiene los literales que son utilizados en la aplicación. Entre otras cadenas significativas observamos la siguiente:

URL de autoactualización

Correspondía a una URL de auto-actualización que contenía la siguiente información:

Contenido de la URL de autoactualización

La aplicación periódicamente lanza una petición a esa URL y comprueba si la versión actual es la misma que la última versión disponible. En el caso de que las versiones no coincidan procede a la descarga e instalación de la nueva.

Utilizando como referencia el formato de la URL de auto-actualización procedimos a buscar en Google más URLs similares indexadas y encontramos lo siguiente:

Búsqueda en Google de URLs similares

A partir de ellas identificamos las siguientes aplicaciones pertenecientes a la misma empresa.

  • 69tubex
  • 69tv
  • 69xtreme
  • amadoras
  • androidPlus
  • exnovias
  • installapp
  • ligapp
  • sexopremium
  • sexyface
  • vecinitas
  • gestorandroid

Así mismo, al observar el formato de la URL de descarga de la aplicación identificamos lo siguiente:

Contenido de la URL de autoactualización

Se le pasaba como parámetro el idioma y un número identificativo, que probablemente correspondía a la versión de la aplicación.

Utilizando todos los idiomas identificados en el ISO-639-1 y mediante un script de python obtuvimos 54 URLs relacionadas con la descarga de las aplicaciones. Algunas de las ellas estaban en un único idioma, sin embargo otras, tenían disponible los APKs en 20 idiomas.

Idiomas de las aplicaciones

Así que procedimos a la descarga masiva de las APKs modificando el parámetro correspondiente al número relativo a la versión de la APK, y obtuvimos alrededor de 500 APKs de las cuales 418 eran únicas.

Tras ello, comprobamos, mediante el servicio de Virustotal, si eran detectadas por algún antivirus obteniendo los siguientes resultados:

  • 418 aplicaciones comprobadas.
  • 217 ya habían sido previamente enviadas a Virustotal.
  • 202 de las 217 se detectaban por algún antivirus. En concreto, 200 de esas 202 se detectaban por al menos 5 antivirus.
  • Únicamente 15 de las aplicaciones descargadas habían sido previamente enviadas a Virustotal y no eran detectadas por ningún antivirus en el momento del análisis. Sin embargo, tras un posterior envío se comprobó que todas ellas ya se detectaban.

Del análisis previo, se identificaron 12 tipos distintos de aplicaciones y se procedió a analizar cada uno de ellos.

La mayoría de ellas estaban relacionadas con la difusión de contenidos para adultos para lo que requerían una suscripción premium. Sin embargo, había dos en concreto: installapp y androidPlus que solicitaban la suscripción a un servicio SMS Premium por el acceso a contenidos que son TOTALMENTE GRATUITOS.

Aplicaciones

En la configuración de las aplicaciones aparecía una URL correspondiente a un fichero json similar a éste:

JSON

Enlazaban a aplicaciones de Google Play cobrando por ello alrededor de 8€ por disponer del acceso al software durante un período de tiempo limitado a 5 días. Una práctica que moralmente puede ser cuestionable.

Todas las aplicaciones analizadas están firmadas por lo que no se descarta que en algún momento sean accesibles a través de Google Play. Si bien por el momento no se ha observado este hecho, parece que en alguna ocasión sí que se han instalado a partir de alguna aplicación que si lo estaba. Hasta la fecha, han sido localizadas en repositorios de aplicaciones alternativos como www[.]descargar-app[.]com y en varios perfiles de Google Plus.

Descargar APP Google Play

En dicho market es posible leer el siguiente mensaje: «Descargar app gratis WhatsApp, Facebook, like, YouTube, twitter, skype, etc. Google play y APP Store unidas donde descargarte todos los programas APPs completamente gratis para tu móvil.»

Así mismo, al final de la página indican lo siguiente:

Foto

«* Mediante la descarga de software en esta página obtendrás la aplicación AndroidPlus, desarrollada por XXXXXXX. AndroidPlus es un programa de suscripción mediante el cual se accede a cientos de programas para Android, entre estos programas se encuentra WhatsApp, promocionado en esta página.»

Es decir, indican que su herramienta de suscripción premium permite acceder a aplicaciones cuya descarga es TOTALMENTE GRATUITA.

A la hora de descargar la aplicación Skype, disponible de manera gratuita en Google Play, muestra el siguiente mensaje:

Pagina descarga foto

Informan que el coste es de 1,45€ por SMS recibido, «Máx 25 sms/mes», lo que puede suponer al usuario un coste económico de hasta 36,25€ al mes.

En otros casos, a la hora de descargar una aplicación ofrecen 2 opciones:

Captura pantalla descarga

En el caso de pulsar en «Descargar Google Chrome APP», se redirige al usuario a Google Play desde donde sí que se descarga la aplicación de manera gratuita. Sin embargo, en el caso de pulsar en el botón verde se redirige al usuario a una página para que introduzca su número de teléfono, como se puede ver en la siguiente imagen, y se suscriba a un servicio de SMS Premium para la descarga de contenidos.

Foto

Con el fin de prevenir este tipo de amenazas es recomendable la utilización de alguna herramienta especializada como Conan Mobile.

Tras realizar un análisis del dispositivo con la herramienta, ésta alerta al usuario de las aplicaciones que pueden resultar dañinas, en este caso InstallApp y AndroidPlus.

Conan Mobile

Y al acceder al detalle de las mismas se puede visualizar el resultado del análisis de la aplicación utilizando para ello un gran número de antivirus.

Conan Mobile