Anuncios fraudulentos en aplicaciones de la Play Store

Recientemente por parte de equipos de investigación de la firma ‘White Ops Threat Intelligence‘ (empresa de seguridad digital), se ha identificado más de 100 aplicaciones maliciosas en la Play Store, de las cuales algunas acumulan más de 4.6 millones de descargas, y que están llevando a cabo malas prácticas publicitarias con anuncios fraudulentos.

Entre las aplicaciones detectadas, se ha encontrado que comparten un paquete de código llamado ‘Soraka‘, del paquete ‘com.android.sorakalibrary‘.

Además de Soraka, también han identificado en otras aplicaciones una variante con funcionalidades muy parecidas a la que han llamado ‘Sogo‘, del paquete ‘com.android.sogolibrary‘.

Soraka en la app Best Fortune Explorer

Un ejemplo de Soraka se encuentra en la aplicación ‘Best Fortune Explorer’ publicada por ‘JavierGentry80’. La app se publicó el 9 de septiembre de 2019, no es detectada por ningún antivirus y tiene más de 170.000 descargas.

Filtros en los anuncios fraudulentos

Las aplicaciones con anuncios fraudulentos utilizan un marco llamado ‘AppsFlyers’ para el análisis de marketing. Los anuncios fraudulentos se muestran solo si AppsFlyers determina que la instalación no es de fuente orgánica, sino que proviene de un enlace u otra fuente ‘intencionada’.

Hay filtros que controlan el uso del dispositivo para mostrar determinados anuncios:

  • Cuando se desbloquea el dispositivo
  • Cuando se cambia de aplicación en la multi-tarea
  • Cuando se activa/desactiva ajustes de conexión, pantalla o sonido.

Estos filtros permiten un control preciso de quién o qué tipo de usuario recibe el fraude publicitario. Las aplicaciones muestran anuncios fuera del contexto cuando las condiciones son apropiadas.

¿Cuándo salen los anuncios fraudulentos?

Estas aplicaciones se aprovechan de un error en el sistema, de manera que cada vez que se muestra una pantalla diferente en el dispositivo, en la transición, se cuela un anuncio. También ocurre trás el desbloqueo, como es el caso siguiente:

Cuando aparece el primer anuncio, al pulsar el botón de inicio para quitarlo aparece otro anuncio encadenado. Tras algunos movimientos con el dispositivo vuelve a aparecer un tercer anuncio.

Estas aplicaciones fraudulentas registran una gran cantidad de cambios que se producen en el dispositivo, como por ejemplos cuando se acaba de encender, cuando se carga, cuando el estado del wifi cambia o cuando se instala o desinstala una aplicación.

Además cuentan con determinados métodos de persistencia que le permiten mantenerse en el dispositivo tras el apagado o borrado.

Bien. ¿Y ahora qué?

Desde White Ops Threat siguen monitorizando estos paquetes e identificarán cualquier paquete emergente. Por otra lado, por seguridad se recomienda desinstalar cualquiera de estas aplicaciones:

Nombres de paquetes que contienen Soraka y Sogo

art.photo.editor.best.hot
hora de acostarse.recordatorio.lite.sleep
com.am.i.the.best.friends.hh
com.appodeal.test
com.beauty.mirror.lite
com.bedtimehelper.android
com.bkkmaster.android
com.calculator.game
com.card.life
com.cartoon.camera.pro.android
com.code.identifier.android
com.code.recognizer.android
com.color.spy.game
com.cute.kittens.puzzlegame.android
com.cute.love.test.android
com.daily.wonderfull.moment
com.dailycostmaster.android
com.dangerous.writing.note
com.data.securite.data
com.days.daysmatter365.android
com.days.remind.calendar
com.detector.noise.tool
com.dodge.emoji.game
com.dog.bark.picture.puzzle
com.drink.water.remind.you
com.ezzz.fan.sleep.noise
com.fake.call.girlfriend.prank2019
com.fakecaller.android
com.fake.caller.plus
com.false.location
com.fancy.lovetest.android
com.fast.code.scanner.nmd
com.filemanagerkilopro.android
com.filemanagerupro.android
com.filemanageryo.android
com.filemanagerzeropro.android
com.find.difference.detective.little
com.find.you.lover.test
com.frame.easy.phone
com.frank.video.call.lite
com.free.code.scanner.nmd
com.free.lucky.prediction.test
com.funny.lie.truth.detector
com.funny.word.game.english
com.game.color.hunter
com.ice.survival.berg
com.idays.dayscounter.android
com.important.days.matter
com.instanomo.android
com.isleep.cycleclock.android
com.led.color.light.rolling
com.lite.fake.gps.location
com.lovetest.plus.android
com.love.yourself.women
com.lucky.charm.text
com.lucky.destiny.teller
com.magnifying.glass.tool
com.math.braingame.puzzle.riddle
com.math.iq.puzzle.riddle.braingame
com.math.puzzles.riddle.braingame
com.multiple.scanner.plus.nmd
com.my.big.days.counter
com.my.constellation.love.work
com.my.pocker.mobile.mirror
com.nanny.tool.data
com.nice.mobile.mirror.hd
com.nomophotoeditor.android
com.non.stop.writing
com.phone.lite.frame
com.phone.mirror.pro
com.pocker.pro.mobile.mirror
com.prank.call.fake.ring
com.phonecallmaker.android
com.pro.test.noise
com.puzzle.cute.dog.android
com.scan.code.tool
com.simple.days.counter
com.sleep.comfortable.sounds
com.sleep.in.rain
com.sleepassistantool.android
com.sleeptimer.android
com.smart.scanner.master.nmd
com.test.find.your.love
com.test.fortune.tester
com.test.lover.match
com.tiny.scanner.tool.nmd
com.wmmaster.android
com.word.fun.level.english
good.lucky.is.coming.hh
mobi.clock.android
my.lucky.goddness.today.test
newest.android.fake.location.changer
nmd.andriod.better.calculator.plus
nmd.andriod.mobile.calculator.master
nmd.android.best.fortune.explorer
nmd.android.better.fortune.signs
nmd.android.clam.white.noise
nmd.android.fake.incoming.call
nmd.android.good.luck.everyday
nmd.android.location.faker.master
nmd.android.multiple.fortune.test
nmd.android.scanner.master.plus
nmd.android.test.what.suitable
photo.editor.pro.magic
pic.art.photo.studio.picture
relax.ezzz.sleep.cradle
super.lucky.magican.newest
test.you.romantic.quize
well.sleep.guard.relax
your.best.lucky.master.test.new
com.ssdk.test
hora de acostarse.recordatorio.lite.sleep
com.frank.video.call.lite.pro.prank
com.personal.fortune.text
com.daily.best.suit.you
com.false.call.trick

Sí, sé que comparar uno por uno los nombres de paquetes de la lista con los que tienes instalados es una tarea pesada. Por ello estoy preparando una pequeña app que escaneará los paquetes instalados y los comparará con los fraudulentos, si se encuentra alguna app se desinstalará del dispositivo. Estará lista en pocos días.

Te dejo el enlace original de White Ops que contiene más información técnica.

Mario Camí

Desarrollador de aplicaciones Android. Amante de todo lo Open Source, de los videojuegos y nuevas tecnologías. En mi tiempo libre comparto todo lo aprendido y lo que aprendo en el desarrollo de Android a modo de artículo en el blog. La información nos hará libres!

También te podría gustar...