Autor: SangRyol Ryu, investigador sobre amenazas digitales de McAfee
Vivimos en un mundo en el que los anuncios están por todas partes, y es normal que los usuarios se estén cansando de ellos. Por su parte, los desarrolladores quieren ganar dinero y buscan formas de incorporar más y más publicidad en sus aplicaciones. No es pues de extrañar que los desarrolladores de aplicaciones hayan pensado en formas de generar beneficios sin someter a los usuarios a la molestia de los constantes anuncios. ¿Es esto algo bueno o algo malo?
Recientemente, el equipo de investigación de amenazas para dispositivos móviles de McAfee descubrió una práctica preocupante y común en ciertas aplicaciones distribuidas a través de Google Play. Estas aplicaciones cargan anuncios mientras la pantalla del dispositivo está apagada, lo que inicialmente puede parecer cómodo para los usuarios. Sin embargo, es una clara violación de la política de desarrolladores de Google Play sobre cómo deben mostrarse los anuncios. Esto afecta no sólo a los anunciantes que pagan por anuncios invisibles, sino también a los usuarios, ya que agota la batería, consume datos y plantea riesgos potenciales como filtraciones de información y alteración de los perfiles de usuario causados por el comportamiento de los clics automáticos.
El equipo ha identificado 43 aplicaciones que, en conjunto, se han descargado 2,5 millones de veces. Entre las aplicaciones que incluyen estos anuncios invisibles encontramos un reproductor de TV/DMB, un descargador de música, una app de noticias y un calendario. McAfee es miembro de la App Defense Alliance, cuyo objetivo es proteger a los usuarios impidiendo que las amenazas lleguen a sus dispositivos y mejorando la calidad de las aplicaciones en todo el ecosistema. Informamos de las aplicaciones descubiertas a Google, que tomó medidas rápidamente. La mayoría de las aplicaciones ya no están disponibles en Google Play , mientras que otras fueron actualizadas por el desarrollador. La app McAfee Mobile Security detecta esta amenaza y la clasifica comoAndroid/Clicker. Para obtener más información y estar totalmente protegido, visita McAfee Mobile Security.
Muchas aplicaciones afectadas
¿Cómo funciona?
Esta biblioteca de fraudes publicitarios utiliza tácticas específicas para evitar la detección y la inspección. Retrasa deliberadamente el inicio de las actividades fraudulentas, creando un período latentedesde el momento de la instalación. Y lo quees más, todas las intrincadas configuraciones de esta biblioteca pueden modificarse y activarse remotamente utilizando el servicio de almacenamiento o mensajería de Firebase. Estos factores aumentan significativamente la complejidad de identificar y analizar este comportamiento fraudulento. En particular, el periodo latente suele durar varias semanas,lo que dificulta su detección.
Conseguir el periodo latente utilizando el servicio de mensajería Firebase
Es importante tener cuidado con las implicaciones de conceder permisos, como excluir “ahorro de energía” y permitir “escribir sobre otras apps”. Estos permisos pueden permitir que determinadas actividades se realicen discretamente en segundo plano, lo que suscita dudas sobre las intenciones y el comportamiento de lasaplicaciones o bibliotecas en cuestión. Dar autorización a estos permisos puede dar lugar a comportamientos maliciosos, como mostrar páginas de phishing, o mostrar anuncios en segundo plano. 
Permisos solicitados para ejecutarse en segundo plano y mantenerlo oculto
Cuando se apaga la pantalla del dispositivo tras el periodo de latencia, se inicia la búsqueda y carga de anuncios , lo que provoca que los usuarios no sean conscientes de la presencia de anuncios en ejecución en sus dispositivos . Esta biblioteca de anuncios registra la información del dispositivo accediendo al dominio único (por ejemplo: mppado.oooocooo.com) vinculado a la aplicación. A continuación, ve al almacenamiento de Firebase para obtener la URL específica del anuncio y mostrar losanuncios. Es importante tener en cuenta que este proceso consume energía y recursos de datos móviles. 
Tráfico observado cuando la pantalla está apagada
Si los usuarios encienden rápidamente sus pantallas en este momento, podrían echar un vistazo al anuncio antes de que se cierre automáticamente.
En conclusión, es esencial que los usuarios actúen con cautela y evalúen cuidadosamente la necesidad de conceder permisos como la exclusión de ahorro de energía o el sorteo de otras apps antes de permitirlos. Aunque estos permisos pueden ser necesarios para ciertas funcionalidades legítimas para ejecutarse en segundo plano, es importante tener en cuenta los riesgos potenciales vinculados a ellos, como habilitar comportamientos ocultos o reducir la relevancia de los anuncios y contenidos mostrados a los usuarios debido al comportamiento oculto de Clicker. Si utilizas un producto de seguridad comoMcAfee Mobile Security, los usuarios pueden salvaguardar aún más sus dispositivos y mitigar los riesgos relacionados con este tipo de malware, proporcionando una experiencia más segura y protegida. Para más información, visita McAfee Mobile Security
Indicadores de Compromiso (IoC)
Dominios:
best.7080music.com
m.gooogoole.com
barocom.mgooogl.com
newcom.mgooogl.com
easydmb.mgooogl.com
freekr.mgooogl.com
fivedmb.mgooogl.com
krlive.mgooogl.com
sixdmb.mgooogl.com
onairshop.mgooogle.com
livedmb.mgooogle.com
krbaro.mgooogle.com
onairlive.mgooogle.com
krdmb.mgooogle.com
onairbest.ocooooo.com
dmbtv.ocooooo.com
ringtones.ocooooo.com
onairmedia.ocooooo.com
onairnine.ocooooo.com
liveplay.oocooooo.com
liveplus.oocooooo.com
liveonair.oocooooo.com
eightonair.oocooooo.com
krmedia.oocooooo.com
kronair.oocooooo.com
newkrbada.ooooccoo.com
trot.ooooccoo.com
thememusic.ooooccoo.com
trot.ooooccoo.com
goodkrsea.ooooccoo.com
krlive.ooooccoo.com
news.ooooccoo.com
bestpado.ooooccoo.com
krtv.oooocooo.com
onairbaro.oooocooo.com
barolive.oooocooo.com
mppado.oooocooo.com
dmblive.oooocooo.com
baromedia.oooocooo.com
musicbada.oouooo.com
barolive.oouooo.com
sea.oouooo.com
blackmusic.oouooo.com
Paquetes Android
| Nombre del paquete | Nombre de la aplicación | SHA256 | Descargas de Google Play |
| band.kr.com | DMB TV | f3e5aebdbd5cd94606211b04684730656e0eeb1d08f4457062e25e7f05d1c2d1 | 10.000+ |
| com.dmb.media | DMBTV | 6aaaa6f579f6a1904dcf38315607d6a5a2ca15cc78920743cf85cc4b0b892050 | 100.000+ |
| dmb.onair.media | DMB TV | a98c5170da2fdee71b699ee145bfe4bdcb586b623bbb364a93bb8bdf8dbc4537 | 10.000+ |
| easy.kr | DMB TV | 5ec8244b2b1f516fd96b0574dc044dd40076ff7aa7dadb02dfefbd92fc3774bf | 100.000+ |
| kr.dmb.onair | DMBTV | e81c0fef52065864ee5021e1d4c7c78d6a407579e1d48fc4cf5551ff0540fdb8 | 5.000+ |
| livedmb.kr | DMBTV | 33e5606983526757fef2f6c1da26474f4f9bf34e966d3c204772de45f42a6107 | 50.000+ |
| stream.kr.com | DMBTV | a13e26bce41f601a9fafdec8003c5fd14908856afbab63706b133318bc61b769 | 100+ |
| com.breakingnews.player | 뉴스 속보 | d27b8e07b7d79086af2fa805ef8d77ee51d86a02d81f2b8236febb92cb9b242d | 10.000+ |
| jowonsoft.android.calendar | 달력 | 46757b1f785f2b3cec2906a97597b7db4bfba168086b60dd6d58d5a8aef9e874 | 10.000+ |
| com.music.free.bada | 뮤직다운 | a3fe9f9b531ab6fe79ed886909f9520a0d0ae98cf11a98f061dc179800aa5931 | 100.000+ |
| com.musicdown | 뮤직다운 | 5f8eb3f86fc608f9de495ff0e65b866a78c25a9260da04ebca461784f039ba16 | 5.000+ |
| new.kr.com | 뮤직다운 | 397373c39352ef63786fe70923a58d26cdf9b23fa662f3133ebcbc0c5b837b66 | 100.000+ |
| baro.com | 바로TV | 3b4302d00e21cbf691ddb20b55b045712bad7fa71eb570dd8d3d41b8d16ce919 | 10.000+ |
| baro.live.tv | 바로TV | 760aa1a6c0d1e8e4e2d3258e197ce704994b24e8edfd48ef7558454893796ebe | 50.000+ |
| baro.onair.media | 바로TV | b83a346e18ca20ac5165bc1ce1c8807e89d05abc6a1df0adc3f1f0ad4bb5cd0c | 10.000+ |
| kr.baro.dmb | 바로TV | 84a4426b1f8ea2ddb66f12ef383a0762a011d98ff96c27a0122558babdaf0765 | 100.000+ |
| kr.live | 바로TV | cccf95f74add21da546a03c8ec06c7832ba11091c6d491b0aadaf0e2e57bcc | 1.000+ |
| newlive.com | 바로TV | c76af429fabcfd73066302eeb9dd1235fd181583e6ee9ee9015952e20b4f65bf | 50.000+ |
| onair.baro.media | 바로TV | 6c61059da2ae3a8d130c50295370baad13866d7e5dc847f620ad171cc01a39e9 | 10.000+ |
| freemusic.ringtone.player | 벨소리 무료다운 | 75c74e204d5695c75209b74b10b3469babec1f7ef84c7a7facb5b5e91be0ae3e | 100.000+ |
| com.app.allplayer | 실시간 TV | 8d881890cfa071f49301cfe9add6442d633c01935811b6caced813de5c6c6534 | 50.000+ |
| com.onair.shop | 실시간 TV | 1501dd8267240b0db0ba00e7bde647733230383d6b678fc6f0c7f3962bd0d3 | 50.000+ |
| eight.krdmb.onair | 실시간 TV | bbd6ddbfee7482fe3fe8b5d96f3be85e09352711a36cd8cf88cfdeaf6ff90c79 | 10.000+ |
| free.kr | 실시간 TV | 5f864aa88de07a10045849a7906f616d079eef94cd463e40036760f712361f79 | 10.000+ |
| kr.dmb.nine | 실시간 TV | ea49ad38dd7500a6ac12613afe705eb1a4bcab5bcd77ef24f2b9a480a34e4f46 | 100.000+ |
| kr.live.com | 실시간 TV | f09cff8a05a92ddf388e56ecd66644bf88d826c5b2a4419f371721429c1359a7 | 10.000+ |
| kr.live.onair | 실시간 TV | e8d2068d086d376f1b78d9e510a873ba1abd59703c2267224aa58d3fca2cacbd | 100.000+ |
| kr.live.tv | 실시간 TV | 1b64283e5d7e91cae91643a7dcdde74a188ea8bde1cf745159aac76a3417346e | 50.000+ |
| kr.media.onair | 실시간 TV | bd0ac9b7717f710e74088df480bde629e54289a61fc23bee60fd0ea560d39952 | 100.000+ |
| kr.onair.media | 실시간 TV | d7dd4766043d4f7f640c7c3fabd08b1a7ccbb93eba88cf766a0de008a569ae4d | 1.00 0 + |
| live.kr. | onair | 실시간 TV 1 b84b22bc0146f48982105945bbab233fc21306f0f95503a1f2f578c1149d7e46 | 10.000+ |
| live.play.com | 실시간 TV | 516032d21edc2ef4fef389d999df76603538d1bbd9d357a995e3ce4f274a9922 | 50.000+ |
| new.com | 실시간 TV | 5d07a113ce389e430bab70a5409f5d7ca261bcdb47e4d8047ae7f3507f044b08 | 50.000+ |
| newlive.kr | 실시간 TV | afc8c1c6f74abfadd8b0490b454eebd7f68c7706a748e4f67acb127ce9772cdb | 100.000+ |
| onair.mejor | 실시간 TV | 6234eadfe70231972a4c05ff91be016f7c8af1a8b080de0085de046954c9e8e7 | 50.000+ |
| com.m.music.free | 음악다운 | ded860430c581628ea5ca81a2f0f0a485cf2eeb9feafe5c6859b9ecc54a964b2 | 500.000+ |
| good.kr.com | 음악다운 | bede67693a6c9a51889f949a83ff601b1105c17c0ca59049063750b3802e91 | 100.000+ |
| new.music.com | 음악다운 | fee6cc8b606cf31e55d85a7f0bf7751e700156ce5f7376348e3357d3b4ec0957 | 1.000+ |
| play.com.apps | 음악다운 | b2c1caab0e09b4e99d5d5fd403c506d93497ddb2de3e32931237550dbdbe7f06 | 100.000+ |
| com.alltrot.player | 트로트 노래모음 | 469792f4b9e4320faf0746f09ebbcd8b7cd698a04eef12112d1db03b426ff70c | 50.000+ |
| com.trotmusic.player | 트로트 노래모음 | 879014bc1e71d7d14265e57c46c2b26537a81020cc105a030f281b1cc43aeb77 | 5.000+ |
| best.kr.com | 파도 MP3 | f2bbe087c3b4902a199710a022adf8b57fd927acac0895ab85cfd3e61c376ea5 | 100,000+ |
| com.pado.music.mp3 | 파도 MP3 | 9c84c91f28eadd0a93ef055809ca3bceb10a283955c9403ef1a39373139d59f2 | 100,000+ |
Mantente al día
Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.
