Anuncios fraudulentos en aplicaciones de la Play Store

Recientemente por parte de equipos de investigación de la firma ‘White Ops Threat Intelligence‘ (empresa de seguridad digital), se ha identificado más de 100 aplicaciones maliciosas en la Play Store, de las cuales algunas acumulan más de 4.6 millones de descargas, y que están llevando a cabo malas prácticas publicitarias con anuncios fraudulentos.

Entre las aplicaciones detectadas, se ha encontrado que comparten un paquete de código llamado ‘Soraka‘, del paquete ‘com.android.sorakalibrary‘.

Además de Soraka, también han identificado en otras aplicaciones una variante con funcionalidades muy parecidas a la que han llamado ‘Sogo‘, del paquete ‘com.android.sogolibrary‘.

Soraka en la app Best Fortune Explorer

Un ejemplo de Soraka se encuentra en la aplicación ‘Best Fortune Explorer’ publicada por ‘JavierGentry80’. La app se publicó el 9 de septiembre de 2019, no es detectada por ningún antivirus y tiene más de 170.000 descargas.

Filtros en los anuncios fraudulentos

Las aplicaciones con anuncios fraudulentos utilizan un marco llamado ‘AppsFlyers’ para el análisis de marketing. Los anuncios fraudulentos se muestran solo si AppsFlyers determina que la instalación no es de fuente orgánica, sino que proviene de un enlace u otra fuente ‘intencionada’.

Hay filtros que controlan el uso del dispositivo para mostrar determinados anuncios:

  • Cuando se desbloquea el dispositivo
  • Cuando se cambia de aplicación en la multi-tarea
  • Cuando se activa/desactiva ajustes de conexión, pantalla o sonido.

Estos filtros permiten un control preciso de quién o qué tipo de usuario recibe el fraude publicitario. Las aplicaciones muestran anuncios fuera del contexto cuando las condiciones son apropiadas.

¿Cuándo salen los anuncios fraudulentos?

Estas aplicaciones se aprovechan de un error en el sistema, de manera que cada vez que se muestra una pantalla diferente en el dispositivo, en la transición, se cuela un anuncio. También ocurre trás el desbloqueo, como es el caso siguiente:

Cuando aparece el primer anuncio, al pulsar el botón de inicio para quitarlo aparece otro anuncio encadenado. Tras algunos movimientos con el dispositivo vuelve a aparecer un tercer anuncio.

Estas aplicaciones fraudulentas registran una gran cantidad de cambios que se producen en el dispositivo, como por ejemplos cuando se acaba de encender, cuando se carga, cuando el estado del wifi cambia o cuando se instala o desinstala una aplicación.

Además cuentan con determinados métodos de persistencia que le permiten mantenerse en el dispositivo tras el apagado o borrado.

Bien. ¿Y ahora qué?

Desde White Ops Threat siguen monitorizando estos paquetes e identificarán cualquier paquete emergente. Por otra lado, por seguridad se recomienda desinstalar cualquiera de estas aplicaciones:

Nombres de paquetes que contienen Soraka y Sogo

Sí, sé que comparar uno por uno los nombres de paquetes de la lista con los que tienes instalados es una tarea pesada. Por ello estoy preparando una pequeña app que escaneará los paquetes instalados y los comparará con los fraudulentos, si se encuentra alguna app se desinstalará del dispositivo. Estará lista en pocos días.

Te dejo el enlace original de White Ops que contiene más información técnica.

Mario Camí

Desarrollador de aplicaciones Android. Amante de todo lo Open Source, de los videojuegos y nuevas tecnologías. En mi tiempo libre comparto todo lo aprendido y lo que aprendo en el desarrollo de Android a modo de artículo en el blog. La información nos hará libres!

También te podría gustar...

¡No te pierdas ningún artículo!

Suscríbete a nuestro newsletter semanal y serás el primero en enterarte de todo el nuevo contenido del blog.

Veces compartido