Análise de APPs relacionadas ao COVID19 usando Tacyt (I)

Andrés Naranjo    Amador Aparicio    31 agosto, 2020
Análise de APPs relacionadas ao COVID19 usando Tacyt (I)

Aproveitando toda a atenção monopolizada por esse assunto, os markets oficiais de aplicativos , Google Play e Apple Store, recebem uma enxurrada de aplicativos diariamente . Ambas as plataformas, especialmente o Android, já limitam a publicação e a pesquisa de termos como «covid» ou «coronavirus»: o Google declarou guerra àqueles que tentam tirar proveito do medo para obter downloads. Atualmente, apenas aqueles que pertencem a propriedades oficiais dos diferentes governos permanecem no Google Play.

Para esta análise rápida, usaremos a ferramenta Tacyt da ElevenPathso ecossistema de inteligência cibernética móvel , onde sua estrutura de Big Data monitora, armazena, analisa, correlaciona milhares de novos aplicativos todos os dias e cujas informações podemos acessar para comparar ou comparar com base em consultas fáceis e simples.

Uma das vantagens que a Tacyt nos oferece é que podemos ter todos os aplicativos acessíveis, independentemente da localização. Como o Google Play só pode oferecer resultados, dependendo do país de origem, de acordo com a disponibilidade que o desenvolvedor propôs. Da Espanha, vamos ao repositório oficial do Google Play e procuramos os aplicativos relacionados ao COVID19.

Aplicativos oficiais na Espanha acessíveis no market do Google (10 no total)
Aplicativos oficiais na Espanha acessíveis no market do Google (10 no total)

No entanto, nada a ver com o número de aplicativos encontrados em qualquer market não oficial:

Aplicativos encontrados no market alternativo APTOIDE apenas com o termo "coronavírus"
Aplicativos encontrados no market alternativo APTOIDE apenas com o termo «coronavírus»

 Como em outros markets, o Aptoide, por exemplo, não baixa diretamente o aplicativo que solicitamos, mas o «downloader» através do qual o download real será solicitado. Isso pode ser facilmente intuído, verificando se o tamanho do arquivo é o mesmo:

Downloads de aplicativos da APTOIDE
Downloads de aplicativos da APTOIDE

De fato, verificamos facilmente no Tacyt ao fazer o upload desses aplicativos, ele os detecta como um, com o mesmo hash:

This image has an empty alt attribute; its file name is image-3.png

E é que o Tacyt não apenas inclui seus próprios mecanismos de descoberta e download de aplicativos, mas também, usando a função de upload (via web ou API), o usuário pode enviar os aplicativos a serem analisados, que podemos ver rotulados como «userUpload” e também rotule-os com nossas próprias etiquetas de identificação (como na imagem, o autor do upload ou o mercado de onde foi baixado).

Essa função de upload pode ser muito útil para detectar em markets não oficiais versões alteradas de nossos aplicativos legítimos , por exemplo, de um banco. O Tacyt inclui um botão para comparar aplicativos na interface.

De qualquer forma, não perdemos a oportunidade de desencorajar totalmente a instalação de aplicativos de fontes não oficiais .

Pesquise com Tacyt no Google Play por aplicativos relacionados ao COVID19 desde o início da Pandemia

Vamos focar a investigação no Google Play . Os filtros são usados ​​para formar a seguinte pesquisa no Tacyt. Como você pode ver, essas consultas compostas comuns (dorks) na pesquisa do Google, por exemplo, são fáceis de ler:

((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (origem: "GooglePlay") AND (createDate: "2020-03-14 00:00:00 - hoje")

Dorking ”para pesquisar com aplicativos Tacyt no Google Play relacionados ao COVID-19 publicados desde o início do estado do alarme
Dorking para pesquisar com aplicativos Tacyt no Google Play relacionados ao COVID-19 publicados desde o início do estado do alarme

Resposta de Tacyt com a pesquisa anterior:

This image has an empty alt attribute; its file name is image-5.png
Aplicativos relacionados ao COVID-19 publicados no Google Play que não são da Espanha
Aplicativos relacionados ao COVID-19 publicados no Google Play que não são da Espanha

Agora, estamos procurando no Tacyt aplicativos não oficiais relacionados ao COVID19 a partir da data oficial de início da pandemia . Para esta tarefa, podemos usar o parâmetro ORIGIN indicando a exclusão, por exemplo -origin: GooglePlay, ou seja, todos aqueles cuja origem não é oficial.

((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (-origin: GooglePlay) AND (createDate: "2020-03-14 00:00:00 - hoje")

Aplicativos não oficiais publicados desde o início da pandemia
Aplicativos não oficiais publicados desde o início da pandemia

Por exemplo, examinamos as permissões do aplicativo com o nome do pacote » coronavirus.tracker.news » e faremos uma análise rápida.

As seguintes permissões são suspeitas: (apenas comentamos permissões diferentes das permissões «normais» de aplicativos oficiais que violam a privacidade ou a segurança)

  • android.permission.CHANGE_WIFI_STATE : permite que o APP altere o status da conectividade Wi-Fi.
  • android.permission.INTERNET : permite que o APP abra conexões de rede.
  • android.permission.WRITE_EXTERNAL_STORAGE: permite que o aplicativo grave no armazenamento externo do dispositivo.
  • android.permission.READ_EXTERNAL_STORAGE : permite que o APP leia o armazenamento externo do dispositivo.
  • android.permission.WAKE_LOCK – Permite usar o PowerManager WakeLocks para impedir que o processador entre no modo de suspensão ou a tela fique escura.

Para qualquer investigação, podemos carregar os aplicativos no Tacyt em lotes e depois pesquisá-los usando uma tag personalizada e localizando, por exemplo, como dissemos, permissões suspeitas:

This image has an empty alt attribute; its file name is image-8.png
This image has an empty alt attribute; its file name is image-9.png

Da mesma forma, poderíamos ter procurado por indicações sobre a data de validade do certificado (às vezes com duração suspeita), apikeys , seqüências de texto ou e-mails associados a malware e um longo período de tempo …

Veremos na próxima parte mais algumas informações sobre os resultados.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.