Armor for Android puede robaros vuestro dinero

0

¿Cuánto estarías dispuesto a pagar por una aplicación de seguridad (antivirus podríamos decir) para tu smarpthone? Suponemos que la respuesta andará entre poco y nada. Lo malo es que con apps como la que hoy comentaremos, podría llegar a costaros 365 € al año!

Obviamente se trata de un abuso en toda regla, pues el precio máximo para este tipo de apps llega apenas a 25 € por año. Veamos que nos han contado los laboratorios Blue Coat Security sobre esta app maliciosa llamada Armor for Android. Nada bueno, os podemos adelantar.

Falsos avisos de infección

Está claro y a la mayoría de vosotros ya os habrá ocurrido que, en cierto momento, al abrir una ventana del navegador o encontraros en cierta web, os aparece un mensaje -generado por un script- que pretende atacarnos. El ejempo que tenemos debajo: “Generic Android Tablet Security Alert” responde al esquema típico de diseño de estos mensajes. En el caso en cuestión se han recopilado unos pocos datos sobre el dispositivo que pueden llegar a ofrecer suficiente verosimilitud para muchos usuarios.

Posible infección, supuesta, de nuestro equipo

Este “ataque” no implica más que un pequeño script de Javascript que abre un cuadro de diálogo, desviando inmediatamente después nuestra pestaña activa del navegador a otro sitio web, que intenta realizar una descarga de forma recurrente. Este tipo de anuncios agresivos preceden de redes de anunciantes sin escrúpulos. En ellos se pretende convencer a la víctima para que compre la versión completa de un software destinado (supuestamente) a proteger nuestro dispositivo vulnerable.

Permisos que obtendrá la aplicación

Basta con ignorarlo

Para que el ataque tenga éxito, las víctimas deberán seguir las instrucciones dadas por los desarrolladores de esta PUA (Aplicación potencialmente no deseada) para que sea descargada e incorporada al sistema. Después, valiéndose en la laxitud del sistema de permisos de Android, la app será capaz de reclamar casi cualquier tipo de permiso en el aparato, por tanto información personal. Aunque como vemos requiere cierto grado de interacción por el usuario.

Al hacer click sobre el cuadro de diálogo (generado por el script) el navegador mostrará una página web que procura copiar el diseño de una alerta antivirus del sistema (al estilo Windows). Claro que esto, algunos observarán, es un trabajo un poco chapucero porque no deja de estar representado dentro del navegador.

Se alerta innecesariamente al usuario para sacarle dinero

Después se generan una serie de animaciones que parecen seguir el progreso de algún tipo de escaner anti-malware. Como ya ha sido documentado en otras ocasiones similares, esto son tretas de humo y espejos que usan los creadores del script, que terminará siempre indicandonos que nuestro equipo está comprometido de forma gravísima. Obviamente esto solo podremos corregirlo adquiriendo su app (tal cual nos lo dicen)

En cierto momentos la app incluso muestra ciertos defectos de diseño

Algo que resulta llamativo y ridículo al mismo tiempo es que alguien decidió imitar incluso la apariencia de una barra de progreso de descarga, pero está realizado de una forma tan lenta (chapucera) que antes de que la barra muestre el 60%de progreso, veremos como la app ha terminado de descargarse, lo que desconcertará al usuario.

Sugieren al usuario que habilite la capacidad de instalar apps de orígenes desconocidos

Cuando la barra de progreso llega al final, la página cambia de aspecto y muestra unas instrucciones para instalar el “programa”, llegando al punto de sugerir al usuario la necesidad y forma de marcar la opción que permite a Androidinstalar aplicaciones desde orígenes desconocidos. Para ser sinceros, tampoco es la primera vez que vemos esto. Estad avisados y, si al descargar una app véis un aviso similar, es probable que os hayan dado “gato por liebre”.

Campañas como estas se han utilizado recientemente para promocionar o hacer ganar notoriedad a ciertas apps de Android. En este caso, la descarga se denomina Armor for Android. Lleva en el punto de mira de las empresas de seguridad más de un año debido a la agresividad con la que se promueve la PUA (Potentially Unwanted App)

¿Malware?

Aunque esta app no es activamente maliciosa, si que nos puede costar un buen dinero y no sirve para absolutamente nada.

Lo primero que ocurre al ejecutarla es que el instalador se asigna a sí mismo un nombre revelador: “Scan-For-Viruses-Now.apk“. Por eso nadie se extrañó cuando al ejecutarla detectó varios virus rápidamente. Además, cada copia del programa descargada por el laboratorio tenía un hash MD5 diferente, por lo que no se podía comparar con otra versión anterior en VirusTotal. Esto no impidió, sin embargo, que 16 compañías antivirus ya tuvieran “fichado” este producto como dañino: PUA, fakealert, etc.

La suscripción a este servicio nos costaría 365 € al año, renovada diariamente

El encargado de testear la aplicación decidió llegar al final del proceso para estudiar su comportamiento. Digamos que la versión gratuita no ofrecía nada más que capacidad de borrar la caché del navegador o borrar el historial de mensajes del smartphone. El resto iba aparejado a una suscripcion premium de nada más y nada menos que 99 céntimos diarios.

Aquí llega parte del truco, y es que mucha gente puede no enterarse bien a primera vista de que el cargo se realiza diariamente. Algo que puede suponer una sorpresa enorme al cabo de un tiempo. Todo por una “suite” que incorpora un “supuesto antivirus” de fiabilidad no contrastada, junto a un puñado de herramientas de escasa utilidad. Tened cuidado.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR