AdBlocks falsos en Chrome Web Store que llevan a... ¿adware?

martes, 7 de abril de 2015

Ninguna plataforma está libre del abuso. Chrome Web Store ha sido aprovechada como plataforma por creadores de adware en el pasado, principalmente inyectores de anuncios o malware en general. De hecho, Google acaba de eliminar casi 200 extensiones ofensivas que afectaban a 14 millones de usuarios. Pero, ¿y si las apps y las extensiones fueran "una vía" para convencer de la instalación de otro software o la visita de una página? ¿Apps y extensiones como fórmula de spam? Esto ha estado pasando durante un tiempo con "AdBlocks" falsos que llevan a otro anti-adware ruso, usando la Web Store como una plataforma para su spam.

Es, de alguna forma, una situación similar a cuando encontramos AdBlocks falsos en Google Play o el reciente uso de Google Play Books como plataforma para esparcir adware y malware. Chrome Web Store aloja AdBlocks falsos, una de las extensiones más populares para el navegador. Estas apps no son dañinas por sí mismas, puesto que se trata de redirectores a otros sitios desde donde se ofrecen otros programas. No resulta especialmente peligroso... por ahora. La técnica podría tener bastante éxito para los atacantes que quieran "spamear" su contenido, programas, adware o cualquier otra cosa. ¿Significa que Chrome Web Store almacena adware/malware directamente en estas extensiones o apps falsas? No, (alojan principalmente algunos inyectores de anuncios, pero intentan eliminarlos), pero lo que permiten es subir extensiones y apps falsas que se aprovechan de una marca reputada como AdBlock para confundir a los usuarios y conseguir que descarguen cualquier otra cosa. Nada nuevo, excepto por la plataforma utilizada. 

Cómo funcionan

Los AdBlock falsos detectados son típicas y simples apps de Chrome. Hemos encontrado el mismo programa con ligeras diferencias bajo distintas cuentas de desarrolladores. Aquí algunos ejemplos, (no todos aparecen a la vez):

Algunos de los AdBlocks detectados de diferentes desarrolladores

Estas apps no necesitan permisos. Algo extraño cuando no "imposible" si fuera el AdBlock real, puesto que estas apps deberían ser capaces de leer y modificar los datos de las páginas visitadas. Es más, deberían ser extensiones más que apps.


No necesitan permisos

Internamente, lo único que hacen estas apps es esto:

Código de los AdBlock falsos (en el fichero background.js)

  • chrome.runtime.onInstalled.addListener: Significa que, una vez se ha instalado la app, se abrirá la página del parámetro en Chrome.
  • chrome.app.runtime.onLaunched.addListener: Significa que, una vez se lance la app, se visitará la página en Chrome.
Las URLS se van modificando en diferentes apps subidas al Store.

Hacia dónde apuntan

Estos son los enlaces vistos hasta ahora:
  • hxxp://www.appforbrowsers.com/adguard.html
  • hxxp://www.surprisess.com/adguard.html
  • hxxp://www.appforchrome.com/adguard.html
Y estos son otros que, después de pasar por algún tipo de agregador de apps, redirigen al verdadero AdBlock.

  • hxxp://prodownnet.info/adblock-super/
  • hxxp://appstoreonline.blogspot.com/search/label/adblock%20chrome
  • hxxp://appstoreonline.blogspot.com/search/label/adblock%20youtube
La mayoría parece que llevan a páginas que animan al usuario a descargar un programa llamado Adguard. Se supone que se trata de un ad-blocker para PC que cuenta con sus propias extensiones para diferentes navegadores. ¿Es esto adware disfrazado de anti-adware? La respuesta nunca es fácil. Google bloquea el sitio de descarga cuando se visita con Chrome, al menos hasta hace unos días. Significa que Google (y puede que solo ellos) piensan que esta URL debe encontrarse en su lista negra.

Google bloqueando el punto de descarga del instalador Adguard
Sabemos que la app de Adguard fue eliminada (puede que por Google, puede que por otros) de Google Play el pasado diciembre. Además, algunos motores en VirusTotal piensan que se trata de algún tipo de malware, y lo detectan con firmas genéricas (excepto Rising, el antivirus chino).

Algunos motores que detectan Adguard
Podría tratarse de un falso positivo, algo que no ha sido ampliamente descubierto todavía, o quizás ese tipo de software que siendo legal, se mueve en la zona gris en la que los antivirus deben "respetarlo" y no detectarlo... pero que en cualquier caso resultan molestos y potencialmente dañinos para los usuarios una vez instalados.

La única forma de saberlo realmente, sería a través de un análisis manual. El análisis rápido del instalador muestra que cambia a menudo, y que se trata solo de un descargador de la instalación principal del programa: download.adguard.com/setup.exe que es el programa en sí y que, una vez más, es detectado por un motor con firmas genéricas, lo que no significa nada. Aunque Google y algunos AVs lo estén detectando, se trata, muy probablemente, de un programa que no resulta peligroso. Incluso es posible que no sean los responsables directos de estos falsos AdBlocks, puesto que podrían llevar un programa de recompensas por terceros que le proporcionen descargas.. quién sabe.

Conclusiones

Lo importante no es tanto que apps falsas de Chrome lleven a un bloqueador de anuncios, sino que las conclusiones podrían ser:
  • Obvio, pero cualquier plataforma es susceptible de que se abuse y "spamee" a través de ella. Chrome Web Store está siendo aprovechada de forma "inocente" (aparte de los inyectores de ads) con estas apps falsas, para inducir al usuario a visitar y descargar otro software. Usar el mismo nombre e icono que programas reputados como cebo, parece muy efectivo para los atacantes... pero también muy fácil de rastrear  y evitar para la Store.
  • Aunque parece redirigir a otro software en una campaña de spam que apunta a conseguir más visitas y poco más por ahora... ¿y si redirigiese a otra web? ¿Sería tan efectivo desde el punto de vista de los atacantes como los inyectores de anuncios con 14 millones de usuarios afectados? Puede que se vean más apps como estas en un futuro cercano que lleven a adware agresivo realmente o a malware.
  • Los usuarios deben tener cuidado a la hora de interpretar los resultados de los antivirus, para bien y para mal. Los falsos positivos se dan... y por supuesto también los falsos negativos. Pero con un ratio suficiente de cada grupo, el usuario medio nunca puede saberlo exactamente.

    El lanzador de apps de Chrome después de instalar algunos AdBlock falsos
Sergio de los Santos
ssantos@11paths.com

No hay comentarios:

Publicar un comentario