VivaVideo utiliza métodos fraudulentos para robar dinero a sus usuarios

VivaVideo es una app que ofrece funciones de edición de video que puedes encontrar para dipositivos Android en la Play Store. Se puede descargar gratuitamente con modelo freemium y en ella encontramos herramientas de edición, efectos, máscaras de color, música etc… Recientemente, un grupo de investigadores de seguridad ha descubierto que la app suscribe a sus usuarios a planes premium sin su consentimiento.

Acerca de VivaVideo

VivaVideo es uno de los pocos editores de video decentes que se puede encontrar de manera gratuita para Android. Eso la ha llevado a posicionarse con una valoración de 4.2 de 5 acompañada de 12 millones de reseñas, y lleva ya más de 100 millones de instalaciones acumuladas. La app es ofrecida por «QuVideo Inc«, una firma ubicada en la ciudad de Hangzhou en China.

Con la subida que han tenido las redes sociales en la que se popularizan los vídeos, como Instagram con sus reels y stories, o los vídeos de TikTok, VivaVideo también ha aprovechado la inercia y se ha posicionado como el mejor ayudante para crear vídeos para las redes desde el smartphone. Pero, parece ser que todo tiene un coste.

Antiguamente, en el código de VivaVideo ya se encontraron ciertos componentes catalogados como Spyware, así que esta app ya estaba en el punto de mira de determinadas firmas de seguridad digital.

La investigación de VivaVideo por Secure-D

Secure-D es un software dedicado a la protección y seguridad para dispositivos basado en la identificación de procesos. El equipo que hay detrás, ha decidido investigar a fondo la app VivaVideo para determinar cómo funciona el tipo de fraude que están cometiendo.

Para la realización de las pruebas, el equipo de Secure-D ha utilizado 2 dispositivos previamente infectados de 2 usuarios reales. Los terminales en cuestión son un Samsung Galaxy S7 (SM-G930F) y Galaxy J1 Ace (SM-J111F).

Durante la investigación, se ha encontrado que la propia app, concretamente la versión 7.3, intenta suscribir al usuario a un plan premium sin que este lo autorice, con un coste de 0.21€/mes. Esto lo pudieron ver gracias al análisis de paquetes en la red que provenían de los dispositivos.

Además, por si la suscripción premium fuera poco, se ha encontrado que la app realiza clics automáticos sobre sus anuncios, aún cuando el dispositivo está inactivo. De manera que produce visitas fraudulentas a los anunciantes y la red de afiliados.

Durante el análisis del código interno de VivaVideo, el equipo ha determinado que la app es capaz de saber y actuar en función, dependiendo de si se está ejecutando en un dispositivo físico o en un emulador.

Detección de emuladores – Código de la versión 8.4.2 de VivaVideo

Del mismo modo, la app también es capaz de detectar otras aplicaciones instaladas que sean capaces de monitorizarla o aplicaciones que tengan que ver con el proceso de rootear el dispositivo. Cuando VivaVideo detecta alguna aplicación con tal fin, detiene sus procesos y envía un listado de estas aplicaciones a un equipo remoto situado en:

https://xy-flkf-medi.kakalili.com/api/rest/s/recordapplist

Cuando una aplicación de monitorización está en funcionamiento, VivaVideo detiene el intento de suscripción premium y el clic a anuncios para evitar ser detectada. O al menos lo intenta.

Por otro lado la app pide ciertos permisos que a primera vista no deberían ser necesarios para la edición de vídeo. Estos permisos son:

  • Localización: Acceso a la ubicación por red y GPS.
  • Acceso a las aplicaciones que están en funcionamiento.
  • Acceso al contenido del Launcher (pantalla de inicio) y la posibilidad de cerrar aplicaciones.

Para rematar la jugada, también se ha encontrado un componente de código (SDK) conocido en el uso fraudulento de anuncios, que ya fue baneado de la Google Play, así como a todos los usuarios que lo utilizaban en sus apps desde 2018.

El SDK en cuestión es Batmobi, un conjunto de funciones capaces de explotar los permisos de usuario para producir clics automáticamente, conocido como inyección de clics o ‘Clic Flooding‘. Esta técnica se traduce en numerosas pérdidas económicas para el sector de publicidad en la red.

El fraude de VivaVideo en números

Desde principios del pasado 2019, los sistemas de Secure-D han llegado a identificar la cifra de 20 millones de transacciones fraudulentas hacia suscripciones premium.

Han sido 19 los países afectados por la app, siendo la zona de Indonesia, Tailandia y Brasil las más afectadas.

Se ha calculado que, si todas estas acciones fraudulentas bloqueadas por Secure-D hubieran tenido efecto, habría sido un fraude de 27 millones de dólares. Por supuesto, esto son solo los intentos de VivaVideo bloqueados por Secure-D, por lo que no se puede hacer una estimación real de su impacto a nivel mundial, y a día de hoy, puede haber un número elevado de dispositivos infectados.

Cómo mantener un dispositivo Android protegido

Existen varias ‘buenas prácticas’ que uno debería hacer para no abrir las puertas del dispositivo a todo tipo de infecciones por malware. Algunas de ellas pueden parecer demasiado básicas, pero créeme que si las cumples, pocas veces por no decir ninguna, sufrirás alguna infección, perdida de datos o dinero.

  • Instala ÚNICAMENTE aplicaciones de la Play Store. Esto no es mano de santo, a veces se cuelan aplicaciones con malware en la tienda oficial. Pero por lo general se detectan y eliminan bastante rápido.
  • Evita abrir correos electrónicos o enlaces que provengan de fuentes sospechosas (ej: número desconocido de Whatsapp), o que la formación del enlace sea ilegible.
  • Mantener el dispositivo actualizado. Es vital instalar todos los parches de seguridad que estén disponibles para tu dispositivo.
  • Por último, y cada vez siendo más necesario en los días que corren, un antivirus para Android no estaría de más. Sobre todo si descargas contenido de la red desde el dispositivo. Siento decirte que los antivirus gratuitos no son de mucha ayuda, por eso se recomienda utilizar algún producto de firmas reconocidas como por ejemplo ESET Mobile Security, que por muy poco vas a estar tranquilo mientras navegas o descargas, además ofrece soluciones para la localización del dispositivo en caso de robo o pérdida.

vía: UpStream

Mario Camí

Desarrollador de aplicaciones Android. Amante de todo lo Open Source, de los videojuegos y nuevas tecnologías. En mi tiempo libre comparto todo lo aprendido y lo que aprendo en el desarrollo de Android a modo de artículo en el blog. La información nos hará libres!

También te podría gustar...