Metadatos falsos de la BBC
- Nombre de la aplicación: Noticias de la BBC
- Nombre de la empresa: BBC Worldwide [Ltd] (el original usa corchetes)
- Nombre del paquete: in.com.bbc.mobile.news.ww
- SHA256: 6df385b3f26725ceb9530bd6422910ee8501cc2d03a6fa3b515a7ce658a8a4e5
- Enlace de descarga: https://play.google.com/store/apps/details?id=in.com.bbc.mobile.news.ww (que ahora no está disponible). Se puede encontrar una copia en caché de la página original de Play Store aquí.
Análisis de comportamiento
Una vez instalada, la aplicación falsa se ve exactamente como la original, los íconos y las etiquetas de los cajones son los mismos, pero una vez abierta podemos detectar varias diferencias: En la aplicación falsa, podemos identificar que la página de BBC News está cargada en un WebView y que Ads parece generarse mientras navega por las pestañas o lee una noticia.
Aplicación falsa de noticias de la BBC
Aplicación de noticias reales de la BBC
Análisis estático
La aplicación parece haber existido desde el 21 de junio de 2017 y se extendió en todos los mercados de Android y sitios APK no oficiales. Revisando el AndroidManifest.xml, podemos ver que el versionName es 4.3.0.25y al comparar las muestras falsas y originales del mismo período de tiempo, notamos una estructura de paquete diferente:
La estructura del paquete falso se puede ver a la izquierda y la estructura del paquete real se puede ver a la derecha. La enorme brecha en el tamaño de los archivos también sugiere que las diferencias no se limitan al código Java: 4 MB para la aplicación falsa y 15 MB para la aplicación original. De hecho, todos los activos y recursos no coinciden.
Por lo general, los autores de estas aplicaciones falsas clonan los paquetes originales y les inyectan algunos anuncios, pero al investigar el código fuente y el tráfico generado a partir de esta muestra, podemos notar que la aplicación falsa actúa como marcador de posición. Su estructura central podría usarse potencialmente para imitar otras aplicaciones móviles de noticias o, de manera más general, aplicaciones móviles de servicios que también tienen un sitio web móvil que se puede cargar en WebView.
Al capturar el tráfico, notamos que la primera consulta se envía a la URL maliciosa srv1.androidcreator.com; más concretamente se produjo la siguiente solicitud:
La aplicación envía varios datos al servidor y entre ellos podemos identificar el vname=4.3.0.25, idapp=273964 y pn=in.com.bbc.mobile.news.ww para identificar la aplicación; cierta información sobre el entorno del dispositivo y el idusu=229581196 al que se hace referencia varias veces en el código fuente y parece identificar de forma única al propietario del dispositivo. Una vez procesada la consulta, el servidor responde con un montón de configuraciones que la aplicación manejará adecuadamente:
Podemos detectar varias cadenas (algunas de ellas también aparecieron en el video): Califica nuestra aplicación, ¿Te gusta la aplicación?, Sí, califica ahora, Quizas mas tarde, Te recomiendo esta aplicación para tv en vivo, Te envío esta aplicación que te puede interesar.
Las URL que se cargarán también están presentes: http://móvil.9apps.tv, http://www.bbc.com/noticias. También podemos identificar configuraciones sobre el UserAgent a utilizar o el título a mostrar. Finalmente, se reciben los ID de los anuncios; esta aplicación falsa se basa en AdMob y AppNext para el proceso de monetización. Un análisis más detallado de la muestra aclaró que también hay una estructura central común a otras muestras, y que ha sido creada por la utilidad Android Creator disponible en: www.androidcreator.com
Un vistazo rápido a Android Creator
Durante la fase de inicialización, luego de la solicitud y respuesta con el servidor, la aplicación verifica si hay disponible una versión actualizada de la aplicación y, si está disponible, se actualizará. La respuesta contiene información sobre colores, etiquetas y otros componentes gráficos que se utilizarán en el botón o las pestañas de la aplicación, lo que confirma nuevamente que el concepto es tener una aplicación capaz de adaptarse a varios diseños gráficos para una máxima reutilización. La utilidad le permite al usuario crear una aplicación sin saber realmente cómo codificar para Android y todas las configuraciones y acciones se realizan mediante solicitudes y respuestas entre la aplicación y el servidor androidcreator.com.
Al consultar a Google, encontramos varias aplicaciones creadas con la utilidad, como ejemplo, la consulta «site: androidcreator.com» devolverá resultados para otras aplicaciones y al usar la consulta «site: androidcreator.com BBC» obtendrá la identificación de la aplicación de Fake BBC. aplicación
Banner de la aplicación Fake BBC News en el androidcreator.com sitio.
Mencionamos que la utilidad Android Creator le permite al usuario configurar varias acciones, la aplicación Fake BBC News contiene las siguientes páginas de solicitud que forman parte de la URL srv1.androidcreator.com/srv/, algunos ejemplos son:
- cancelar_privado.php
- cancelar_solicitud.php
- chats_inicio.php
- comentarios_perfil.php
- config.php
- eliminar_comentario.php
- eliminar_fotogal.php
- eliminar_perfil.php
- eliminar_usu.php
- enviar_comentario.php
- enviar_foto.php
- enviar_mensaje.php
- enviarmensaje.php
- favorito_usu.php
- fondo_guardado.php
- fotos_perfil.php
Conclusión
La incrustación de anuncios parece ser opcional, por lo que podemos suponer que el objetivo principal de la aplicación Fake BBC News parece ser la monetización. La muestra analizada no mostró capacidades de eliminación ni exfiltración de datos confidenciales, por lo que debe considerarse como un AdWare.
COI
Noticias falsas de la BBC: 6df385b3f26725ceb9530bd6422910ee8501cc2d03a6fa3b515a7ce658a8a4e5
Gracias
Me gustaría agradecer a mis compañeros de equipo de Zimperium por su experiencia y asistencia, especialmente a Gianluca Braga (@matriz86_) y Christy Mateo (cristopriorato) .
