De acuerdo a AV-Comparatives, una organización independiente encargada de realizar pruebas sobre los distintos antivirus, existen diferencias significativas en el nivel de protección que ofrecen las distintas soluciones de seguridad para móviles. Sin embargo, hasta la más pobre de ellas sigue siendo lo suficientemente mejor que las cuestionables aplicaciones que se hacen pasar por apps de seguridad para mostrar publicidad a los usuarios. En este sentido, fueron 35 las aplicaciones dudosas de este tipo que fueron recientemente descubiertas en la tienda oficial de aplicaciones para Android, Google Play.

Estas apps han pasado desapercibidas por un par de años, con estadísticas en Google Play que indicaban un acumulado de seis millones de instalaciones.  Sin embargo, esas cifras no necesariamente reflejaban instalaciones reales: es una práctica común hacer descargas falsas mediante bots que inmediatamente después marcan una calificación positiva mejorando la valoración general de la aplicación.

Las 35 aplicaciones fueron alertadas por ESET y eventualmente removidas de la tienda.

Imagen 1 - Las 35 aplicaciones dudosas en Google Play

Imagen 1 - Las 35 aplicaciones dudosas en Google Play

Además de molestar a sus víctimas con publicidad, considerar que estas aplicaciones funcionan como soluciones de seguridad también tiene serios efectos negativos. Al imitar funciones básicas de seguridad, ─de hecho, todas actúan como soluciones de seguridad basándose en unas pocas reglas triviales de código- frecuentemente sucede que detectan aplicaciones legítimas como maliciosas. Por último y no menos importante, crean un falso sentido de seguridad en las víctimas, dejándolas expuestas a riesgos reales de aplicaciones maliciosas que no son detectadas como tales.

Los análisis de ESET mostraron que de las 35 aplicaciones analizadas solo unas pocas se destacaban por las funciones especificadas: una aplicación no es completamente gratuita ya que ofrece una versión “mejorada” pero paga; otra app implementó un administrador de bloqueo de aplicaciones básico y con la posibilidad de desactivarlo fácilmente; otra app alerta sobre otras aplicaciones (del grupo de las 35) como peligrosas por defecto; y finalmente, un caso de mal uso de la marca ESET.

Imagen 2 - Una de las 35 apps detectando a otra aplicación similar como una amenaza de "alto riesgo"

Imagen 2 - Una de las 35 apps detectando a otra aplicación similar como una amenaza de "alto riesgo"

Imagen 3 - Una de las aplicaciones alertandose a sí misma como de "alto riesgo"

Imagen 3 - Una de las aplicaciones alertandose a sí misma como de "alto riesgo"

Imagen 4 - Una de las aplicaciones ofreciendo suscribirse al "plan Pro"

Imagen 4 - Una de las aplicaciones ofreciendo suscribirse al "plan Pro"

Imitación de la funcionalidad de seguridad

Con el fin de no llamar mucho la atención, todas las aplicaciones que despliegan publicidad intentan imitar verdaderas soluciones de seguridad para móviles. Sin embargo, sus mecanismos de detección están incompletos y/o son extremadamente básicos, lo que los hace fáciles de eludir y propensos a detectar falsos positivos.

Nuestra investigación sobre estas cuestionables aplicaciones ha demostrado que sus “mecanismos de detección” pueden dividirse entre cuatro categorías. A su vez, estos mecanismos son idénticos o casi idénticos a lo largo de todas las aplicaciones.

1) Lista blanca y negra del nombre del servicio

Esta “lista blanca” incluye aplicaciones populares como Facebook, Instagram, LinkedIn, Skype y otras. La “lista negra” contiene muy pocos elementos para ser considerada una funcionalidad de seguridad.

Imagen 5 – Creando una lista blanca (Whitelisting) de aplicaciones populares

Imagen 5 – Creando una lista blanca (Whitelisting) de aplicaciones populares

2) Administración de permisos

Se alerta sobre todas las aplicaciones (incluidas las legítimas) en caso de requerir permisos considerados como peligrosos, tales como enviar y recibir SMS, acceso a datos de ubicación, acceso a la cámara, etc.

Imagen 6 – Lista negra de permisos

Imagen 6 – Lista negra de permisos

3) Según la fuente

Todas las aplicaciones, excepto las de la tienda oficial de Android, Google Play, son observadas ─incluso si son completamente benignas.

4) Según la presencia de actividades en la lista negra

Todas las aplicaciones que contienen alguna funcionalidad, como parte de la aplicación, incluida dentro de la lista negra de actividades. Esto se refiere principalmente a algunas funcionalidades de visualización de publicidad.

Se alerta sobre todas las aplicaciones que contienen cualquiera de las actividades incluidas en la lista negra; es decir: paquetes de aplicaciones que son usados en aplicaciones. Estos paquetes pueden manejar funcionalidades adicionales (generalmente actividades de visualización de publicidad).

Mientras que no hay nada malo con algunas de las actividades de lista negra de actividades, el problema está en que en estas aplicaciones dudosas la implementación de estas actividades se realiza con descuido. Por ejemplo, Google Ads se incluye en la lista negra a pesar ser un servicio legítimo. Y pese a esto, este servicio es implementado en todas las aplicaciones sospechosas que analizamos.

Imagen 7 - Lista negra de actividad

Imagen 7 - Lista negra de actividad

“Funcionalidades” de seguridad adicionales

Algunas aplicaciones de seguridad dudosas son capaces de proteger las aplicaciones del usuario mediante una contraseña o patrón de desbloqueo. La idea detrás de esta aparentemente útil funcionalidad es proveer al usuario con una capa adicional de seguridad en las aplicaciones elegidas.

Sin embargo, debido a implementaciones inseguras, esta funcionalidad también falla a la hora de brindar verdadera seguridad al usuario.

El problema es que la información importante no es almacenada de forma segura en el dispositivo ─en lugar de utilizar cifrado, lo cual es una práctica común en ciberseguridad, estas aplicaciones almacenan los nombres de las aplicaciones bloqueadas y las contraseñas para desbloquearlas como código plano.

Esto quiere decir que se puede acceder a los datos una vez que el dispositivo es “rooteado”.

A pesar de comprometer los datos no cifrados al “rootear” el teléfono, hay otra alternativa para evadir el bloqueo de la aplicación. Un atacante con acceso físico al dispositivo puede modificar la contraseña de bloqueo sin saber cómo era la antigua.

Imagen 8 – Funcionalidad de bloqueo de una de las apps cuestionables donde se puede apreciar cómo almacena información del usuario en texto plano

Imagen 8 – Funcionalidad de bloqueo de una de las apps cuestionables donde se puede apreciar cómo almacena información del usuario en texto plano

Conclusión

Tener una solución de seguridad instalada en un dispositivo con Android es definitivamente algo positivo. Sin embargo, no todas las funciones de “seguridad” o de “antivirus” de las aplicaciones cumplen con lo que prometen.

Las 35 pseudo aplicaciones de seguridad que se describieron en este artículo no representan una amenaza como podría ser un ransomware u otro tipo de malware potente. El único daño que causan es desplegar publicidad molesta, realizar detecciones que resultan ser falsos positivos y dar a los usuarios un falso sentido de seguridad. Sin embargo, esos millones de usuarios poco conscientes que las descargan pueden fácilmente terminar descargando verdaderos malware disfrazados de una forma similar.

En lugar de aplicaciones sospechosas con nombres atractivos y extravagantes, y promesas con pocos fundamentos, mejor buscar una solución de seguridad que goce de más reputación. ¿Y cuál elegir? Un test independiente de alguna organización respetable que se dedique a realizar este tipo de pruebas podría ser de ayuda.

IoCs

Nombre de detección de ESET :

Android/Blacklister.A application potentially unwanted

App Name Package Name Installs
Virus Cleaner Antivirus 2017 - Clean Virus Booster com.sta.viruscleaner.antivirus 1,000,000+
Super Antivirus & Virus Cleaner (Applock, Cleaner) com.superantivirus.mobilesecurity 1,000,000+
hAntivirus - Security com.noah.antivirus 1,000,000+
Antivirus Security free com.xplusapps.antivirus.free 500,000+
Antivirus 2018 com.gotechgo.antivirus.mobilesecurity2018 500,000+
Antivirus Clean com.mobileapp.virus 500,000+
Security Antivirus 2018 muel.security.antivirus 500,000+
Max Security - Antivirus&Booster &Cleaner com.stranger.maxsecurity 500,000+
Antivirus Cleaner - Virus Scanner And Junk Remover com.applock.security.viruscleaner 100,000+
Antivirus Security Free com.rgamewall.anti2018 100,000+
Antivirus Cleaner For Android & App Locker Pattern com.antivirusforandroid.freeapp 100,000+
Antivirus Security dhl.freesecure 100,000+
Smadav antivirus for android 2018 com.smallapp.antivirus 50,000+
Antivirus Free : Process Virus com.greenbooster.process 50,000+
TV Antivirus Free + Applock toto.prosecurity 50,000+
Antivirus Virus Cleaner - Security Applock 2017 com.viruscleaner.antivirus.security 50,000+
Super Security-Anti Virus, Phone Cleaner & Booster com.supersecurity.cleaner 10,000+
Antivirus Free + Virus Cleaner + Security App antivirus.cleaner.security.scanner 10,000+
Antivirus Pro - Virus Cleaner - Boost Mobile free com.fantabulous.antiviruspro.viruscleaner 10,000+
Virus Clean Antivirus - Cpu Cooler & Ram Master com.msysoft.viruscleaner.cleanvirus 10,000+
360 Secure Antivirus com.ufgames.antivirus 10,000+
Antivirus Cleaner Booster com.best.apps.collection.antivirus 10,000+
Antivirus Android 2018 com.looptoop.antivirus.android2018 10,000+
Antivirus & Virus Remover 2018 com.glagahstudio.viruscleaner.booster 10,000+
Antivirus Free 2018 com.lalbazai.antivirus.mobilesecurity2018 5,000+
Kara Security Manager Antivirus kara.securitymanager.antivirus 5,000+
Security Antivirus 2018 jts.security.mobile 5,000+
Antivirus & Virus Cleaner & Security oriwa.antivirus.cleanvirus 5,000+
Master Antivirus Booster App Lock com.boostercleaner.antivirus.mobilesecurity 5,000+
Virus Cleaner - Antivirus,Booster,Security&AppLock com.radiantappsworld.securityantivirus 5,000+
Smart Security Antivirus & Applocker & Cleaner org.orangina.antivirusmobilesecurity 1,000+
Antivirus 2017 & Virus Removal com.bsm.multisecurity 1,000+
Energy Antivirus Cleaner com.energy.antivirus.cleaner 1,000+
Antivirus Master-Applock Pro com.octa.anti.antivirus 500+
AntiVirus Mobile Security for Android - Free com.mobicluster.mobile.security.antivirus 100+