En la mayoría de los casos, las aplicaciones “gratuitas” que nos descargamos en la tienda de Google Play no son tan gratis como parecen. Los desarrolladores de estas apps no son ni hermanitas de la caridad ni organizaciones sin ánimo de lucro. Al igual que el resto de los servicios online que no son de pago, la publicidad es la forma de obtener rendimiento económico de estos programas.
Durante el proceso de desarrollo, se suele elegir una librería de anuncios de una compañía e incluirla en la app. Una vez la aplicación está en la tienda de Google Play y los usuarios comienzan a descargarla, es dicha empresa la responsable de servir la publicidad y pagar al desarrollador de la aplicación.
Ni el desarrollador ni el usuario ejercen control sobre la red publicitaria: la información recogida, los anuncios mostrados o la interacción con el dispositivo. Algunas de estas plataformas son responsables y claras, pero otras muchas no.
De hecho, existe una librería muy utilizada en Android (cuyas funcionalidades violan la privacidad del usuario y contienen gran cantidad de vulnerabilidades) que ha registrado más de 200 millones de descargas en aplicaciones de Google Play. Su comportamiento es tan imprudente que ha captado la atención de los investigadores de la entidad FireEye quienes han analizado esta red publicitaria. ¿Su nombre? Digamos que se llama “Vulna”, mezcla de sus dos rasgos principales: vulnerable y agresiva.
Como otras muchas librerías, Vulna tiene la capacidad de recopilar información confidencial como el contenido de sms, el historial de llamadas, la lista de contactos, etc. Además, los anuncios de Vulna también pueden ejecutar códigos de descarga en los dispositivos donde se ha instalado la app.
¿Sabéis lo peor de todo? La lista de vulnerabilidades que afecta a este servicio publicitario permite a los hackers explotar dichos bugs; controlando las funciones de la red de anuncios y usándolas de forma maliciosa para atacar el terminal del usuario. En otras palabras (y por este motivo FireEye no ha querido hacer público el nombre de la red) millones de dispositivos a los que Vulna está enviando publicidad pueden ser posibles víctimas de los ciberdelincuentes.
Teniendo en cuenta que la mayoría de las vulnerabilidades están relacionadas con la falta de cifrado de los datos transferidos entre los servidores de Vulna y los dispositivos; un atacante con conocimientos suficientes podría realizar lo siguiente: robar los códigos de verificación que se envían a través de sms; visualizar las fotos y archivos almacenados; instalar aplicaciones o iconos maliciosos en la pantalla de inicio; eliminar archivos y datos; hacer llamadas telefónicas; usar la cámara de fotos de forma secreta o hacerse pasar por el dueño del smartphone para fines maliciosos. Pero ¡esto no todo! También podrían espiar a través de las redes WiFi, instalar un malware de botnet o hackear los servidores de Vulna, pudiendo redirigir el tráfico de la red a cualquier página controlada por el hacker (como sucedió en el ataque reciente contra Twitter y New York Times).
Lamentablemente, los usuarios no pueden saber si tienen instalada una app afiliada al servicio de Vulna por la forma en que se reciben los comandos HTTP desde el servidor. El código está cerrado y solo sus creadores pueden examinarlo.
Como contrapunto positivo, FireEye ha sido mucho más explícito a la hora de revelar a Google la identidad real de Vulna y la empresa responsable de la librería publicitaria. Justo esta semana, FireEye ha anunciado que tanto Google como la compañía responsable han hecho numerosos cambios a mejor. El gigante de Internet ha eliminado una serie de aplicaciones abusivas y muchos desarrolladores han actualizado sus programas con una versión de Vulna menos invasiva o, directamente, han eliminado esta red.
No obstante, muchos usuarios de Android no instalan las actualizaciones de las apps y, por este motivo, permanecen vulnerables a esta amenaza. De hecho, FireEye estima que 166 millones de descargas todavía contienen la versión “mala” de Vulna.
Por supuesto, siempre os recomendamos descargar las actualizaciones porque de no hacerlo, nadie podría ayudaros. También, debemos estar atentos al adware. Las versiones de pago de las apps pueden parecer una pérdida de dinero cuando existen aplicaciones gratuitas que ofrecen los mismos servicios. Pero, por desgracia, nada es gratis en esta vida. La mayoría de las app gratuitas obtienen sus ingresos económicos a través de servicios publicitarios como Vulna y es prácticamente imposible saber con certeza quién y cómo se mantienen estas redes de anuncios.
Imaginad lo siguiente: un cibercriminal hackea los servidores DNS de Vulna para redirigir todos los clics a una página donde se esconde un troyano bancario. Así, las cuentas bancarias de millones de usuarios estarían en peligro. Los costes, en términos de tiempo y dinero, asociados a la recuperación de las cuentas seguramente superaría en un par de millones de euros el coste de haber utilizado una app de pago. Por supuesto, no todos nos podemos permitir estas aplicaciones que, en algunas ocasiones, no son baratas precisamente. Pero, al menos, después de leer este post, espero que la próxima vez que os descarguéis una app leáis y vigiléis los permisos que concede a aplicaciones de terceros.