Google y Apple retiran de sus tiendas oficiales “cientos” de 'apps' falsas que en realidad eran loterías y apuestas
Viajes, información sobre vinos o del tiempo meteorológico: las “cientos” de 'apps' falsas descubiertas en las tiendas oficiales de Google y Apple por la empresa de ciberseguridad Trend Micro parecían inofensivas, pero solo lo fueron al principio. En el informe presentado el jueves explican cómo, tras ser instaladas en el teléfono, nada tenían que ver con la descripción y en su lugar, el usuario encontraba otro software desde el que podía acceder a juegos de casino, apuestas y loterías con dinero real.
Algunas de las apps se encontraban en el top 100 de la App Store, contaban con miles de reseñas y habían sido votadas más de 100.000 veces, según los investigadores. La mayoría copiaban el nombre y el icono de otras, reales, haciéndose pasar por ellas y dando lugar a la confusión. Si los usuarios no estaban al tanto, podían terminar descargándose la aplicación falsa en vez de la original. Trend Micro ya ha avisado a las dos compañías, que han eliminado el contenido falso de sus tiendas oficiales.
Las dos empresas no prohíben expresamente los softwares de juego, pero están sujetos a las políticas de cada una de ellas y a la regulación de cada país. En junio, Apple actualizó sus normas prohibiendo a los desarrolladores incluir la opción de jugar con dinero real en las apps. Google, por su parte, solo permite el juego con dinero real en ciertos países. Sin embargo, las apps descubiertas por Trend Micro tenían un ingenioso sistema para pasar desapercibidas en ambas plataformas.
Si las aplicaciones estaban en las tiendas oficiales de cada compañía es porque habían pasado los controles, obligatorios para cada nueva app que pretende promocionarse allí. Los creadores incorporaron lo que en programación se denomina switch (una pieza de código que habilita al desarrollador para controlar la app a distancia), que permitía alterar el contenido de la aplicación a su gusto. Así, a la hora de pasar las revisiones, las apps sí hacían lo que decían hacer.
Un interruptor para encender o apagar a la app
appTrend Micro descarta que las aplicaciones fueran maliciosas en sí mismas para las tablets o los teléfonos donde se descargaban. Según Google Play, la mayoría fueron subidas el pasado agosto y no tenían altos números de descarga. Todo lo contrario que las de Apple, que llevaban más de seis meses en la tienda oficial e incluso habían sido actualizadas un par de veces. Una de ellas llegó a tener más de 440.000 valoraciones.
Para ejecutar el engaño, los creadores necesitaban hacer pasar primero la aplicación como legítima. Por eso la primera versión estaba libre de código maligno, pero en las sucesivas incluyeron una API (un conjunto de herramientas) que consistía precisamente en la app de juego encubierta. Con el switch podían activar o desactivar esa API en el momento en el que Google o Apple fueran a pasar un control.
Las aplicaciones se podían descargar también a través de páginas web de juego online. Al pinchar en el botón de “descarga”, este redirigía a la App Store, lo que hacía pensar a los usuarios que se trataba de apps legítimas. Los investigadores observaron que “algunas aplicaciones tenían ventanas emergentes de una página web que llevaban al usuario a instalar una aplicación empresarial fuera de la App Store”.
En el caso de la tienda de Google, al ir a instalar la app comenzaba automáticamente una descarga de un archivo .apk (Android application package) con el nombre “com.bxvip.app.jiuzhouzy”. La app tenía la misma interfaz que las aplicaciones falsas que se podían descargar en la App Store y todas mentían en su descripción: algunas decían ofrecer información sobre vinos, el tiempo meteorológico o viajes, pero en realidad intentaban enganchar al usuario para que se descargase algo totalmente diferente orientado al juego.