Basado en materiales upstreamsystems.com
La penetración de los teléfonos inteligentes y de Internet móvil está creciendo rápidamente en los mercados emergentes, lo que brinda a los compradores más acceso a la información. Y parece que un problema grave está creciendo en muchos países: los teléfonos inteligentes con presupuesto Android se venden con malware preinstalado para atacar el fraude publicitario. Como resultado, para los usuarios desprevenidos, esto resulta ser lo siguiente:
- Recopilación y transmisión sistemática de información a servidores de terceros;
- Desperdicio del tráfico que tienen;
- Publicidad fraudulenta que resulta en transacciones fraudulentas y desperdicia tráfico prepago.
Vamos a resolverlo desde el principio
La facturación del operador, un método de pago que permite a los usuarios móviles utilizar los servicios al reponer su saldo, es la única forma en que los mercados emergentes pagan por estos servicios. Ahora es más fácil que nunca para los compradores de los mercados emergentes pagar en línea con un solo clic, gracias a la tecnología avanzada que utilizan los operadores móviles. No es necesario rellenar formularios largos con datos personales.
En general, el fraude en línea está asociado con clics engañosos y provocadores, y los estafadores, que utilizan los métodos de pago que ofrece la publicidad en línea para aumentar las ventas, utilizan software para crear páginas falsas y provocar clics. Esto afecta a los anunciantes, ya que reduce el costo real de la publicidad. En los mercados emergentes, esto también afecta a los consumidores finales, ya que los clics en anuncios sin escrúpulos conducen a compras no deseadas y, por lo tanto, afectan el consumo de tráfico, hasta el agotamiento total del límite de prepago.
Los mercados emergentes tienen una serie de diferencias que podrían aclarar mucho:
La mayoría de las personas no reciben servicios de los bancos y tienen prepago, usan su cuenta móvil para pagar los servicios.
El costo del tráfico es relativamente más alto que en los mercados desarrollados. Por ejemplo, en África, 1 GB para propietarios de planes prepagos equivale a 16 horas de trabajo a la tarifa mínima.
Detalles de la investigación
Desde noviembre de 2017, la plataforma Secure-D de Upstream, que protege a los operadores y sus usuarios de transacciones fraudulentas, ha detectado una gran cantidad de intentos de pago bloqueados en Brasil que se originan en Android: teléfonos inteligentes vendidos bajo la marca Multilaser. Casi al mismo tiempo, se observó algo similar en Myanmar en Android: los teléfonos inteligentes de la marca Smart.
Dado que es más común que los intentos fraudulentos se originen en una dirección IP específica, este caso fue inusual porque el fraude se concentró en dos países diferentes en dispositivos específicos.
Durante este período, el 45% de todos los intentos de transacciones fraudulentas para el servicio premium (portal de juegos en línea) en Brasil se realizaron en dispositivos Multilaser (a pesar de que la participación de mercado de Multilaser no es tan grande). Y el 99% de todas las solicitudes de transacciones de dispositivos Multilaser en Brasil fueron bloqueadas como fraudulentas por el algoritmo de detección de fraude Secure-D.
Al mismo tiempo, en Myanmar, el 8% de todos los intentos de transacciones fraudulentas para el mismo servicio premium provino de dispositivos inteligentes (definitivamente el porcentaje más alto para una sola marca). Y el 98,5% de las solicitudes de transacciones de dispositivos inteligentes en Myanmar se identificaron como fraudulentas.
Notablemente, las solicitudes de transacciones en Brasil y Myanmar fueron enviadas por la misma aplicación llamada com.rock.gota. La aplicación com.rock.gota no se puede encontrar en Google Play y, en sus teléfonos inteligentes, los usuarios generalmente la ven como Actualización de software o Mobile Care.
Análisis del comportamiento de com.rock.gota
El equipo de analistas de Upstream ha adquirido una cierta cantidad de dispositivos con una alta tasa de transacciones fraudulentas en tiendas fuera de línea tanto en Brasil como en Myanmar. Todos estos dispositivos estaban preinstalados con la aplicación com.rock.gota, se identificó tan pronto como los dispositivos se encendieron por primera vez.
Primero, estudiamos el teléfono inteligente Multilaser MS50S y lo colocamos en un entorno de “laboratorio” en el que se registraba todo el tráfico.
Desde la primera puesta en marcha, el teléfono inteligente ha transmitido datos muchas veces hacia y desde el servidor con la URL http://api.rock.fotapro.com/, un servidor inseguro ubicado en Singapur con el operador Gmobi.
Gmobi, según su sitio web, es 'una plataforma publicitaria para monetizar contenido y atraer usuarios de todo el mundo', que ha alcanzado '150 millones de instalaciones en más de 120 países', con sede en Shanghai (www.generalmobi.com) , declarando que sus servicios se utilizan en China, Taiwán, Sudeste de Asia, Estados Unidos, India, Rusia.
Continuando monitoreando el dispositivo Multilaser sin aceptar el acuerdo de usuario de com.rock.gota o interactuar con la aplicación, los especialistas analizaron rutas de red para identificar múltiples solicitudes de descarga de materiales publicitarios (banners) en segundo plano sin que el usuario se diera cuenta. Uno de esos casos fue la solicitud y descarga de contenido de la URL http://cdn3.dd.fotapro.net/files/48649f226927c698a2074f127ea4e82a (todavía activo en el momento de redactar este documento).
Y lidera la campaña de promoción de Uber, y no se sabe si esta es una campaña oficial aprobada por Uber o no.
Secure-D identificó que la aplicación preinstalada com.rock.gota intentaba comprar servicios de manera fraudulenta en nombre de los usuarios. Fue descrito previamente por el Dr. Web y otras fuentes que recopilan información del dispositivo, incluido el correo electrónico, la ubicación GPS (con la indicación exacta de la calle, número de casa, ciudad, país), identificadores únicos del dispositivo, información que puede permitir la identificación más precisa del propietario del dispositivo.
Es importante tener en cuenta que el usuario no puede desinstalar la aplicación sin rootear, lo que puede anular la garantía de su dispositivo.
Los analistas de Secure-D encontraron problemas similares en un estudio posterior del comportamiento de los modelos Singtech P10, Smart 12 4G Super Star y Sapphire H7S comprados en Myanmar.
Además de ser una plataforma publicitaria, Gmobi ofrece a los fabricantes de dispositivos móviles la tecnología FOTA (Firmware-Over-The-Air), una alternativa a la oferta oficial de Google, que permite actualizaciones de hardware de dispositivos de forma inalámbrica. Google requiere que los proveedores aprueben la certificación antes de permitirles usar la ruta oficial de actualización de hardware.
Parece que varios fabricantes han elegido una solución de Gmobi. Esto en sí mismo no significa que hayan preinstalado el programa con el fin de cometer acciones fraudulentas contra sus clientes. Pero demuestra que los fabricantes necesitan tener un mejor control sobre los programas preinstalados en sus dispositivos.
Implicaciones para los usuarios
Aparentemente, los usuarios de muchos países se vieron afectados por la aplicación com.rock.gota preinstalada, que resultó en:
- Recopilación y transferencia sistemática de sus datos personales a servidores de terceros;
- Quedarse sin tráfico, lo cual es un gran problema en los mercados emergentes donde el costo del tráfico es muy alto. Entonces, en Brasil, por ejemplo, 1 GB con una tarifa prepaga cuesta lo mismo que 6 horas de trabajo a la tarifa mínima;
- Las transacciones fraudulentas que utilizan tráfico prepago son la única forma de pagar los servicios en los mercados emergentes donde la mayoría de las personas no reciben servicios de los bancos. Entonces, en África, el 94% de la población no tiene conexión con instituciones financieras.
¿Qué mercados se vieron afectados?
Según la investigación de especialistas de Secure-D, personas de ocho mercados emergentes han sufrido específicamente del malware descrito. Sobre todo en los últimos dos meses, en Brasil, Myanmar y Malasia.
En Brasil, Secure-D reconoció más de 2 millones de transacciones fraudulentas originadas en dispositivos Multilaser en solo un mes (noviembre de 2017), asociadas a numerosos servicios. Estos intentos representan el 41% del total de 247,484 números de teléfono únicos desde los que intentaron pagar de manera fraudulenta uno de los servicios.
Al mismo tiempo, en Myanmar, Secure-D registró más de 114.000 transacciones fraudulentas originadas en dispositivos inteligentes. Constituyen el 21% del total de 110.306 números de teléfono únicos desde los que intentaron pagar servicios de manera fraudulenta.
Conclusión
Dado que el malware estaba preinstalado, los clientes no podían defenderse de la aplicación com.rock.gota. Desinstalarlo requiere acceso de root a Android, lo cual es difícil para el usuario promedio. Esta solución no es práctica y muy pocas personas pueden aplicarla, qué decir del habitante promedio de Brasil o Myanmar.
Secure-D utiliza el aprendizaje automático junto con los flujos de trabajo de procesamiento de pagos para proteger a los operadores móviles y a sus usuarios de transacciones fraudulentas y robo de tráfico causado por todo tipo de malware y otras amenazas. La plataforma procesa más de 100 millones de transacciones por mes, ha detectado y bloqueado más de 42.000 aplicaciones maliciosas, reconoció más de 2,7 millones de smartphones afectados por ellas.
Upstream trabajó con The Wall Street Journal para llevar esta historia a la atención de los usuarios. Descubra más aquí.