Análise de APPs relacionadas ao COVID19 usando Tacyt (I)

Aproveitando toda a atenção monopolizada por esse assunto, os markets oficiais de aplicativos , Google Play e Apple Store, recebem uma enxurrada de aplicativos diariamente . Ambas as plataformas, especialmente o Android, já limitam a publicação e a pesquisa de termos como «covid» ou «coronavirus»: o Google declarou guerra àqueles que tentam tirar proveito do medo para obter downloads. Atualmente, apenas aqueles que pertencem a propriedades oficiais dos diferentes governos permanecem no Google Play.

Para esta análise rápida, usaremos a ferramenta Tacyt da ElevenPaths, o ecossistema de inteligência cibernética móvel , onde sua estrutura de Big Data monitora, armazena, analisa, correlaciona milhares de novos aplicativos todos os dias e cujas informações podemos acessar para comparar ou comparar com base em consultas fáceis e simples.

Uma das vantagens que a Tacyt nos oferece é que podemos ter todos os aplicativos acessíveis, independentemente da localização. Como o Google Play só pode oferecer resultados, dependendo do país de origem, de acordo com a disponibilidade que o desenvolvedor propôs. Da Espanha, vamos ao repositório oficial do Google Play e procuramos os aplicativos relacionados ao COVID19.

Aplicativos oficiais na Espanha acessíveis no market do Google (10 no total) — Aplicativos oficiais na Espanha acessíveis no *market* do Google (10 no total)

No entanto, nada a ver com o número de aplicativos encontrados em qualquer market não oficial:

Aplicativos encontrados no market alternativo APTOIDE apenas com o termo "coronavírus" — Aplicativos encontrados no *market* alternativo APTOIDE apenas com o termo «coronavírus»

Como em outros markets, o Aptoide, por exemplo, não baixa diretamente o aplicativo que solicitamos, mas o «downloader» através do qual o download real será solicitado. Isso pode ser facilmente intuído, verificando se o tamanho do arquivo é o mesmo:

De fato, verificamos facilmente no Tacyt ao fazer o upload desses aplicativos, ele os detecta como um, com o mesmo hash:

This image has an empty alt attribute; its file name is image-3.png

E é que o Tacyt não apenas inclui seus próprios mecanismos de descoberta e download de aplicativos, mas também, usando a função de upload (via web ou API), o usuário pode enviar os aplicativos a serem analisados, que podemos ver rotulados como «userUpload” e também rotule-os com nossas próprias etiquetas de identificação (como na imagem, o autor do upload ou o mercado de onde foi baixado).

Essa função de upload pode ser muito útil para detectar em markets não oficiais versões alteradas de nossos aplicativos legítimos , por exemplo, de um banco. O Tacyt inclui um botão para comparar aplicativos na interface.

De qualquer forma, não perdemos a oportunidade de desencorajar totalmente a instalação de aplicativos de fontes não oficiais .

Pesquise com Tacyt no Google Play por aplicativos relacionados ao COVID19 desde o início da Pandemia

Vamos focar a investigação no Google Play . Os filtros são usados para formar a seguinte pesquisa no Tacyt. Como você pode ver, essas consultas compostas comuns (dorks) na pesquisa do Google, por exemplo, são fáceis de ler:

((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (origem: "GooglePlay") AND (createDate: "2020-03-14 00:00:00 - hoje")

Dorking ”para pesquisar com aplicativos Tacyt no Google Play relacionados ao COVID-19 publicados desde o início do estado do alarme — *Dorking* para pesquisar com aplicativos Tacyt no Google Play relacionados ao COVID-19 publicados desde o início do estado do alarme

Resposta de Tacyt com a pesquisa anterior:

This image has an empty alt attribute; its file name is image-5.png

Aplicativos relacionados ao COVID-19 publicados no Google Play que não são da Espanha

Agora, estamos procurando no Tacyt aplicativos não oficiais relacionados ao COVID19 a partir da data oficial de início da pandemia . Para esta tarefa, podemos usar o parâmetro ORIGIN indicando a exclusão, por exemplo -origin: GooglePlay, ou seja, todos aqueles cuja origem não é oficial.

((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (-origin: GooglePlay) AND (createDate: "2020-03-14 00:00:00 - hoje")

Aplicativos não oficiais publicados desde o início da pandemia

Por exemplo, examinamos as permissões do aplicativo com o nome do pacote » coronavirus.tracker.news » e faremos uma análise rápida.

As seguintes permissões são suspeitas: (apenas comentamos permissões diferentes das permissões «normais» de aplicativos oficiais que violam a privacidade ou a segurança)

android.permission.CHANGE_WIFI_STATE : permite que o APP altere o status da conectividade Wi-Fi.
android.permission.INTERNET : permite que o APP abra conexões de rede.
android.permission.WRITE_EXTERNAL_STORAGE: permite que o aplicativo grave no armazenamento externo do dispositivo.
android.permission.READ_EXTERNAL_STORAGE : permite que o APP leia o armazenamento externo do dispositivo.
android.permission.WAKE_LOCK – Permite usar o PowerManager WakeLocks para impedir que o processador entre no modo de suspensão ou a tela fique escura.

Para qualquer investigação, podemos carregar os aplicativos no Tacyt em lotes e depois pesquisá-los usando uma tag personalizada e localizando, por exemplo, como dissemos, permissões suspeitas:

This image has an empty alt attribute; its file name is image-8.png

This image has an empty alt attribute; its file name is image-9.png

Da mesma forma, poderíamos ter procurado por indicações sobre a data de validade do certificado (às vezes com duração suspeita), apikeys , seqüências de texto ou e-mails associados a malware e um longo período de tempo …

Veremos na próxima parte mais algumas informações sobre os resultados.

O que os criminosos da indústria de ransomware recomendam para que você não seja afetado por ransomware?FaceApp e dados pessoais, já não falamos sobre isso?