De acuerdo a AV-Comparatives, una organización independiente encargada de realizar pruebas sobre los distintos antivirus, existen diferencias significativas en el nivel de protección que ofrecen las distintas soluciones de seguridad para móviles. Sin embargo, hasta la más pobre de ellas sigue siendo lo suficientemente mejor que las cuestionables aplicaciones que se hacen pasar por apps de seguridad para mostrar publicidad a los usuarios. En este sentido, fueron 35 las aplicaciones dudosas de este tipo que fueron recientemente descubiertas en la tienda oficial de aplicaciones para Android, Google Play.
Estas apps han pasado desapercibidas por un par de años, con estadísticas en Google Play que indicaban un acumulado de seis millones de instalaciones. Sin embargo, esas cifras no necesariamente reflejaban instalaciones reales: es una práctica común hacer descargas falsas mediante bots que inmediatamente después marcan una calificación positiva mejorando la valoración general de la aplicación.
Las 35 aplicaciones fueron alertadas por ESET y eventualmente removidas de la tienda.
Imagen 1 - Las 35 aplicaciones dudosas en Google Play
Además de molestar a sus víctimas con publicidad, considerar que estas aplicaciones funcionan como soluciones de seguridad también tiene serios efectos negativos. Al imitar funciones básicas de seguridad, ─de hecho, todas actúan como soluciones de seguridad basándose en unas pocas reglas triviales de código- frecuentemente sucede que detectan aplicaciones legítimas como maliciosas. Por último y no menos importante, crean un falso sentido de seguridad en las víctimas, dejándolas expuestas a riesgos reales de aplicaciones maliciosas que no son detectadas como tales.
Los análisis de ESET mostraron que de las 35 aplicaciones analizadas solo unas pocas se destacaban por las funciones especificadas: una aplicación no es completamente gratuita ya que ofrece una versión “mejorada” pero paga; otra app implementó un administrador de bloqueo de aplicaciones básico y con la posibilidad de desactivarlo fácilmente; otra app alerta sobre otras aplicaciones (del grupo de las 35) como peligrosas por defecto; y finalmente, un caso de mal uso de la marca ESET.
Imagen 2 - Una de las 35 apps detectando a otra aplicación similar como una amenaza de "alto riesgo"
Imagen 3 - Una de las aplicaciones alertandose a sí misma como de "alto riesgo"
Imagen 4 - Una de las aplicaciones ofreciendo suscribirse al "plan Pro"
Imitación de la funcionalidad de seguridad
Con el fin de no llamar mucho la atención, todas las aplicaciones que despliegan publicidad intentan imitar verdaderas soluciones de seguridad para móviles. Sin embargo, sus mecanismos de detección están incompletos y/o son extremadamente básicos, lo que los hace fáciles de eludir y propensos a detectar falsos positivos.
Nuestra investigación sobre estas cuestionables aplicaciones ha demostrado que sus “mecanismos de detección” pueden dividirse entre cuatro categorías. A su vez, estos mecanismos son idénticos o casi idénticos a lo largo de todas las aplicaciones.
1) Lista blanca y negra del nombre del servicio
Esta “lista blanca” incluye aplicaciones populares como Facebook, Instagram, LinkedIn, Skype y otras. La “lista negra” contiene muy pocos elementos para ser considerada una funcionalidad de seguridad.
Imagen 5 – Creando una lista blanca (Whitelisting) de aplicaciones populares
2) Administración de permisos
Se alerta sobre todas las aplicaciones (incluidas las legítimas) en caso de requerir permisos considerados como peligrosos, tales como enviar y recibir SMS, acceso a datos de ubicación, acceso a la cámara, etc.
Imagen 6 – Lista negra de permisos
3) Según la fuente
Todas las aplicaciones, excepto las de la tienda oficial de Android, Google Play, son observadas ─incluso si son completamente benignas.
4) Según la presencia de actividades en la lista negra
Todas las aplicaciones que contienen alguna funcionalidad, como parte de la aplicación, incluida dentro de la lista negra de actividades. Esto se refiere principalmente a algunas funcionalidades de visualización de publicidad.
Se alerta sobre todas las aplicaciones que contienen cualquiera de las actividades incluidas en la lista negra; es decir: paquetes de aplicaciones que son usados en aplicaciones. Estos paquetes pueden manejar funcionalidades adicionales (generalmente actividades de visualización de publicidad).
Mientras que no hay nada malo con algunas de las actividades de lista negra de actividades, el problema está en que en estas aplicaciones dudosas la implementación de estas actividades se realiza con descuido. Por ejemplo, Google Ads se incluye en la lista negra a pesar ser un servicio legítimo. Y pese a esto, este servicio es implementado en todas las aplicaciones sospechosas que analizamos.
Imagen 7 - Lista negra de actividad
“Funcionalidades” de seguridad adicionales
Algunas aplicaciones de seguridad dudosas son capaces de proteger las aplicaciones del usuario mediante una contraseña o patrón de desbloqueo. La idea detrás de esta aparentemente útil funcionalidad es proveer al usuario con una capa adicional de seguridad en las aplicaciones elegidas.
Sin embargo, debido a implementaciones inseguras, esta funcionalidad también falla a la hora de brindar verdadera seguridad al usuario.
El problema es que la información importante no es almacenada de forma segura en el dispositivo ─en lugar de utilizar cifrado, lo cual es una práctica común en ciberseguridad, estas aplicaciones almacenan los nombres de las aplicaciones bloqueadas y las contraseñas para desbloquearlas como código plano.
Esto quiere decir que se puede acceder a los datos una vez que el dispositivo es “rooteado”.
A pesar de comprometer los datos no cifrados al “rootear” el teléfono, hay otra alternativa para evadir el bloqueo de la aplicación. Un atacante con acceso físico al dispositivo puede modificar la contraseña de bloqueo sin saber cómo era la antigua.
Imagen 8 – Funcionalidad de bloqueo de una de las apps cuestionables donde se puede apreciar cómo almacena información del usuario en texto plano
Conclusión
Tener una solución de seguridad instalada en un dispositivo con Android es definitivamente algo positivo. Sin embargo, no todas las funciones de “seguridad” o de “antivirus” de las aplicaciones cumplen con lo que prometen.
Las 35 pseudo aplicaciones de seguridad que se describieron en este artículo no representan una amenaza como podría ser un ransomware u otro tipo de malware potente. El único daño que causan es desplegar publicidad molesta, realizar detecciones que resultan ser falsos positivos y dar a los usuarios un falso sentido de seguridad. Sin embargo, esos millones de usuarios poco conscientes que las descargan pueden fácilmente terminar descargando verdaderos malware disfrazados de una forma similar.
En lugar de aplicaciones sospechosas con nombres atractivos y extravagantes, y promesas con pocos fundamentos, mejor buscar una solución de seguridad que goce de más reputación. ¿Y cuál elegir? Un test independiente de alguna organización respetable que se dedique a realizar este tipo de pruebas podría ser de ayuda.
IoCs
Nombre de detección de ESET :
Android/Blacklister.A application potentially unwanted
| App Name | Package Name | Installs |
|---|---|---|
| Virus Cleaner Antivirus 2017 - Clean Virus Booster | com.sta.viruscleaner.antivirus | 1,000,000+ |
| Super Antivirus & Virus Cleaner (Applock, Cleaner) | com.superantivirus.mobilesecurity | 1,000,000+ |
| hAntivirus - Security | com.noah.antivirus | 1,000,000+ |
| Antivirus Security free | com.xplusapps.antivirus.free | 500,000+ |
| Antivirus 2018 | com.gotechgo.antivirus.mobilesecurity2018 | 500,000+ |
| Antivirus Clean | com.mobileapp.virus | 500,000+ |
| Security Antivirus 2018 | muel.security.antivirus | 500,000+ |
| Max Security - Antivirus&Booster &Cleaner | com.stranger.maxsecurity | 500,000+ |
| Antivirus Cleaner - Virus Scanner And Junk Remover | com.applock.security.viruscleaner | 100,000+ |
| Antivirus Security Free | com.rgamewall.anti2018 | 100,000+ |
| Antivirus Cleaner For Android & App Locker Pattern | com.antivirusforandroid.freeapp | 100,000+ |
| Antivirus Security | dhl.freesecure | 100,000+ |
| Smadav antivirus for android 2018 | com.smallapp.antivirus | 50,000+ |
| Antivirus Free : Process Virus | com.greenbooster.process | 50,000+ |
| TV Antivirus Free + Applock | toto.prosecurity | 50,000+ |
| Antivirus Virus Cleaner - Security Applock 2017 | com.viruscleaner.antivirus.security | 50,000+ |
| Super Security-Anti Virus, Phone Cleaner & Booster | com.supersecurity.cleaner | 10,000+ |
| Antivirus Free + Virus Cleaner + Security App | antivirus.cleaner.security.scanner | 10,000+ |
| Antivirus Pro - Virus Cleaner - Boost Mobile free | com.fantabulous.antiviruspro.viruscleaner | 10,000+ |
| Virus Clean Antivirus - Cpu Cooler & Ram Master | com.msysoft.viruscleaner.cleanvirus | 10,000+ |
| 360 Secure Antivirus | com.ufgames.antivirus | 10,000+ |
| Antivirus Cleaner Booster | com.best.apps.collection.antivirus | 10,000+ |
| Antivirus Android 2018 | com.looptoop.antivirus.android2018 | 10,000+ |
| Antivirus & Virus Remover 2018 | com.glagahstudio.viruscleaner.booster | 10,000+ |
| Antivirus Free 2018 | com.lalbazai.antivirus.mobilesecurity2018 | 5,000+ |
| Kara Security Manager Antivirus | kara.securitymanager.antivirus | 5,000+ |
| Security Antivirus 2018 | jts.security.mobile | 5,000+ |
| Antivirus & Virus Cleaner & Security | oriwa.antivirus.cleanvirus | 5,000+ |
| Master Antivirus Booster App Lock | com.boostercleaner.antivirus.mobilesecurity | 5,000+ |
| Virus Cleaner - Antivirus,Booster,Security&AppLock | com.radiantappsworld.securityantivirus | 5,000+ |
| Smart Security Antivirus & Applocker & Cleaner | org.orangina.antivirusmobilesecurity | 1,000+ |
| Antivirus 2017 & Virus Removal | com.bsm.multisecurity | 1,000+ |
| Energy Antivirus Cleaner | com.energy.antivirus.cleaner | 1,000+ |
| Antivirus Master-Applock Pro | com.octa.anti.antivirus | 500+ |
| AntiVirus Mobile Security for Android - Free | com.mobicluster.mobile.security.antivirus | 100+ |
