El negocio de las FakeApps y el malware en Google Play (X): Tráfico de Apps entre desarrolladores

lunes, 26 de enero de 2015

Todo se compra y se vende. Obviamente, las apps pueden ser vendidas a usuarios, pero lo que no es tan conocido es el mercado de venta entre desarrolladores. Una vez conseguida una masa sustancial de usuarios, la aplicación gana un valor considerable... para los creadores de adware. La estructura de autenticación de Android facilita esta situación. Veamos cómo.

No es una situación fuera de lo común, ni siquiera fuera del mundo del móvil. Las aplicaciones, programas o cualquier utilidad que funcione y genere cierto número de usuarios, suscita el interés de los que pretenden comerciar de forma más agresiva y quieren una base de usuarios ya nutrida. Pasa con los dominios que se revenden al mejor postor, los programas que se convierten en adware tras la venta de su creador (un caso muy conocido fue esta historia de un creador de extensiones de Chrome)... en la mayoría de los casos, el usuario puede elegir qué hacer, si actualizar a la versión comercial o mantenerse con la original. En Google Play puede que se actualice automáticamente, y esta es la gran diferencia.


Le dieron "cuatro cifras" por una extensión que tardó una hora en crear

Cómo funciona la actualización Google Play

Cuando un desarrollador sube una app a Google Play, la firma con un certificado. Ya hemos hablado de que Google Play acepta certificados autofirmados, por tanto ha desvirtuado por completo el uso de esta herramienta de identidad, y en realidad no se usa para autenticar al desarrollador. La utilidad que le da el market es otra. Para poder actualizar de una app descargada previamente de Google Play, son necesarias tres condiciones:
  • Que mantenga el mismo nombre de paquete.
  • Que se incremente el número de versión (no la cadena, sino el código).
  • Que esté firmada con el mismo certificado.

Dadas estas condiciones, y según configures un terminal, un buen día una app que en su momento fue descargada de Google Play, se actualizará. Si la nueva versión no incrementa los permisos de la anterior, será de forma automática. Si añade algún permiso, la actualización pedirá permiso.

Dado este escenario, ¿qué ocurre si un desarrollador pierde o vende su cuenta, su app y su certificado a un tercero? Este nuevo dueño podrá actualizar a una nueva app a todos los usuarios de forma automática. La app no tiene por qué parecerse a lo que fue. Solo mantener el packagename, incrementar la versión, y firmar. Si añade permisos, al usuario le aparecerá un mensaje. Si no, todo el proceso será transparente. El nuevo dueño podrá cambiar si lo desea el nombre del desarrollador en Google Play.

Y cuando una aplicación se vende, el que compra querrá rentabilizar rápidamente la base de usuarios adquirida para amortizar el gasto. La manera más veloz es inyectar adware sobre la base de usuarios, aunque cualquier escenario es válido.

Errores y problemas

Cuando se vende una app, existen varios detalles que no benefician al usuario final:

  • La URL se mantiene. Cualquier web que hable positivamente de la herramienta y ofrezca un enlace a su descarga, seguirá siendo válido.
  • Si el desarrollador ha vendido también su certificado, el nuevo dueño puede actualizar de forma transparente.
  • La puntuación se mantiene. Sigue teniendo las estrellas "históricas" que ha acumulado durante su andadura con el programador original. Aunque dados los esquemas de puntuación y las técnicas de posicionamiento, esto nunca ha sido un buen indicador.
  • Todas las apps del desarrollador antiguo pueden quedar "comprometidas" puesto que el nuevo dueño puede firmar en su nombre.

Un ejemplo reciente mencionado aquí, da una idea del negocio y de las posibilidades. Gracias a Path5 podemos conocer que el comprador, aunque intenta ocultar su identidad, tiene un histórico "interesante" de apps retiradas del mercado, además de permitir un seguimiento completo de la situación.

Anuncio de venta de una popular app

Conclusiones

Es interesante reflexionar sobre qué se vende exactamente cuando se hace un traspaso de este tipo en el market oficial. ¿La app? ¿La cuenta del desarrollador? ¿La identidad?... Habitualmente debe ser la cuenta para poder mantener el nombre de paquete y por supuesto, el certificado. Si no se vendiera el certificado, el nuevo dueño no "heredaría" los usuarios, sino que tendría que "conseguirlos de nuevo" porque no habría actualización ni notificación. Eso sí, con la imagen "de marca" ya creada.

Como hemos mencionado, esto puede ocurrir en cualquier ámbito. Programas o dominios que tienen éxito y caen en manos menos escrupulosas los habrá siempre. Lo interesante en este caso es ver cómo el mal uso de la criptografía y la forma de funcionar de del mercado facilitan situaciones que dejan desprotegido al usuario frente a instalaciones no deseadas en su sistema, sin la posibilidad de elegir.

El negocio de las "FakeApps" y el malware en Google Play (I): Introducción 
El negocio de las "FakeApps" y el malware en Google Play (II): Tipos de "fakes"
El negocio de las "FakeApps" y el malware en Google Play (III): Estrategias
El negocio de las "FakeApps" y el malware en Google Play (IV): Política y rentabilidad
El negocio de las "FakeApps" y el malware en Google Play (V): Limpieza automática
El negocio de las "FakeApps" y el malware en Google Play (VI): Limpieza "manual"
El negocio de las "FakeApps" y el malware en Google Play (VII): Cómo llegan a las víctimas
El negocio de las "FakeApps" y el malware en Google Play (VIII): Permisos en las apps
* El negocio de las "FakeApps" y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps?



Sergio de los Santos
ssantos@11paths.com
@ssantosv

No hay comentarios:

Publicar un comentario en la entrada