Anuncios fraudulentos en aplicaciones de la Play Store
Recientemente por parte de equipos de investigación de la firma ‘White Ops Threat Intelligence‘ (empresa de seguridad digital), se ha identificado más de 100 aplicaciones maliciosas en la Play Store, de las cuales algunas acumulan más de 4.6 millones de descargas, y que están llevando a cabo malas prácticas publicitarias con anuncios fraudulentos.
Entre las aplicaciones detectadas, se ha encontrado que comparten un paquete de código llamado ‘Soraka‘, del paquete ‘com.android.sorakalibrary‘.
Además de Soraka, también han identificado en otras aplicaciones una variante con funcionalidades muy parecidas a la que han llamado ‘Sogo‘, del paquete ‘com.android.sogolibrary‘.
Contenido:
Soraka en la app Best Fortune Explorer
Un ejemplo de Soraka se encuentra en la aplicación ‘Best Fortune Explorer’ publicada por ‘JavierGentry80’. La app se publicó el 9 de septiembre de 2019, no es detectada por ningún antivirus y tiene más de 170.000 descargas.
Filtros en los anuncios fraudulentos
Las aplicaciones con anuncios fraudulentos utilizan un marco llamado ‘AppsFlyers’ para el análisis de marketing. Los anuncios fraudulentos se muestran solo si AppsFlyers determina que la instalación no es de fuente orgánica, sino que proviene de un enlace u otra fuente ‘intencionada’.
Hay filtros que controlan el uso del dispositivo para mostrar determinados anuncios:
- Cuando se desbloquea el dispositivo
- Cuando se cambia de aplicación en la multi-tarea
- Cuando se activa/desactiva ajustes de conexión, pantalla o sonido.
Estos filtros permiten un control preciso de quién o qué tipo de usuario recibe el fraude publicitario. Las aplicaciones muestran anuncios fuera del contexto cuando las condiciones son apropiadas.
¿Cuándo salen los anuncios fraudulentos?
Estas aplicaciones se aprovechan de un error en el sistema, de manera que cada vez que se muestra una pantalla diferente en el dispositivo, en la transición, se cuela un anuncio. También ocurre trás el desbloqueo, como es el caso siguiente:
Cuando aparece el primer anuncio, al pulsar el botón de inicio para quitarlo aparece otro anuncio encadenado. Tras algunos movimientos con el dispositivo vuelve a aparecer un tercer anuncio.
Estas aplicaciones fraudulentas registran una gran cantidad de cambios que se producen en el dispositivo, como por ejemplos cuando se acaba de encender, cuando se carga, cuando el estado del wifi cambia o cuando se instala o desinstala una aplicación.
Además cuentan con determinados métodos de persistencia que le permiten mantenerse en el dispositivo tras el apagado o borrado.
Bien. ¿Y ahora qué?
Desde White Ops Threat siguen monitorizando estos paquetes e identificarán cualquier paquete emergente. Por otra lado, por seguridad se recomienda desinstalar cualquiera de estas aplicaciones:
Nombres de paquetes que contienen Soraka y Sogo
art.photo.editor.best.hot hora de acostarse.recordatorio.lite.sleep com.am.i.the.best.friends.hh com.appodeal.test com.beauty.mirror.lite com.bedtimehelper.android com.bkkmaster.android com.calculator.game com.card.life com.cartoon.camera.pro.android com.code.identifier.android com.code.recognizer.android com.color.spy.game com.cute.kittens.puzzlegame.android com.cute.love.test.android com.daily.wonderfull.moment com.dailycostmaster.android com.dangerous.writing.note com.data.securite.data com.days.daysmatter365.android com.days.remind.calendar com.detector.noise.tool com.dodge.emoji.game com.dog.bark.picture.puzzle com.drink.water.remind.you com.ezzz.fan.sleep.noise com.fake.call.girlfriend.prank2019 com.fakecaller.android com.fake.caller.plus com.false.location com.fancy.lovetest.android com.fast.code.scanner.nmd com.filemanagerkilopro.android com.filemanagerupro.android com.filemanageryo.android com.filemanagerzeropro.android com.find.difference.detective.little com.find.you.lover.test com.frame.easy.phone com.frank.video.call.lite com.free.code.scanner.nmd com.free.lucky.prediction.test com.funny.lie.truth.detector com.funny.word.game.english com.game.color.hunter com.ice.survival.berg com.idays.dayscounter.android com.important.days.matter com.instanomo.android com.isleep.cycleclock.android com.led.color.light.rolling com.lite.fake.gps.location com.lovetest.plus.android com.love.yourself.women com.lucky.charm.text com.lucky.destiny.teller com.magnifying.glass.tool com.math.braingame.puzzle.riddle com.math.iq.puzzle.riddle.braingame com.math.puzzles.riddle.braingame com.multiple.scanner.plus.nmd com.my.big.days.counter com.my.constellation.love.work com.my.pocker.mobile.mirror com.nanny.tool.data com.nice.mobile.mirror.hd com.nomophotoeditor.android com.non.stop.writing com.phone.lite.frame com.phone.mirror.pro com.pocker.pro.mobile.mirror com.prank.call.fake.ring com.phonecallmaker.android com.pro.test.noise com.puzzle.cute.dog.android com.scan.code.tool com.simple.days.counter com.sleep.comfortable.sounds com.sleep.in.rain com.sleepassistantool.android com.sleeptimer.android com.smart.scanner.master.nmd com.test.find.your.love com.test.fortune.tester com.test.lover.match com.tiny.scanner.tool.nmd com.wmmaster.android com.word.fun.level.english good.lucky.is.coming.hh mobi.clock.android my.lucky.goddness.today.test newest.android.fake.location.changer nmd.andriod.better.calculator.plus nmd.andriod.mobile.calculator.master nmd.android.best.fortune.explorer nmd.android.better.fortune.signs nmd.android.clam.white.noise nmd.android.fake.incoming.call nmd.android.good.luck.everyday nmd.android.location.faker.master nmd.android.multiple.fortune.test nmd.android.scanner.master.plus nmd.android.test.what.suitable photo.editor.pro.magic pic.art.photo.studio.picture relax.ezzz.sleep.cradle super.lucky.magican.newest test.you.romantic.quize well.sleep.guard.relax your.best.lucky.master.test.new com.ssdk.test hora de acostarse.recordatorio.lite.sleep com.frank.video.call.lite.pro.prank com.personal.fortune.text com.daily.best.suit.you com.false.call.trick
Sí, sé que comparar uno por uno los nombres de paquetes de la lista con los que tienes instalados es una tarea pesada. Por ello estoy preparando una pequeña app que escaneará los paquetes instalados y los comparará con los fraudulentos, si se encuentra alguna app se desinstalará del dispositivo. Estará lista en pocos días.
Te dejo el enlace original de White Ops que contiene más información técnica.