Sigo con algunos temas mencionados, en este caso de pasada, en la RootedCon de este año. Laura García (@lainn_) y Ricardo J. Rogriguez (@RicardoJRdez) expusieron su investigación sobre las diferentes tipologías de malware actualmente en movimiento para iOS, así como algunas recomendaciones de cara al usuario, y que básicamente se reducen a las que en su día ya hemos dicho por estos lares.
Sin embargo, la charla me animó a investigar algunas de las estrategias que está siguiendo la industria del cibercrimen ya no en la creación del malware, sino en su distribución y su posible uso como canal paralelo para APTs.
De hecho, quería dedicar este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, precisamente a este elemento, tan crítico a la hora de calcular el éxito que tendrá una campaña de malware.
Índice de contenido
BlackASO en markets oficiales y aledaños
Si usted es lector habitual de esta página, no le resultará extraño conocer que hoy en día, el cibercrimen opera de manera totalmente industrializada. Al igual que el resto de sectores tecnológicos, existe una fuerte descentralización de recursos y labores, de manera que incluso usted, sin saberlo, puede llegar a ser parte de la cadena de producción/difusión de las piezas de código malicioso.
Lo que en su día fueron pequeñas bandas de delincuentes, ahora operan bajo un complejo tejido empresarial que mueve muchísimos, muchísimos millones, y aplica técnicas y metodologías que hasta ahora solo parecían estar disponibles en entornos legales.
De todas ellas, el marketing y posicionamiento de malware es pieza fundamental de todo el entramado. Un negocio que en su día expliqué en profundidad, a colación del funcionamiento del mismo en escenarios tan aparentemente complejos para la venta como es la deepweb (principalmente por la incapacidad de tracear al usuario y el anonimato de las transacciones), y como no, también en los buscadores del Internet abierto.
Semejante a éstos, el posicionamiento dentro de markets de aplicaciones es una de las disciplinas que el equipo encargado de la difusión de campañas debe conocer al detalle.
El ASO, al igual que el SEO, parte de las limitaciones que tiene un algoritmo a la hora de catalogar y priorizar de forma objetiva y rigurosa un contenido, sean aplicaciones o enlaces.
Es, en esencia, una tergiversación del papel de los buscadores, y razón por la que ya expliqué en su día el porqué, al menos para mi caso personal (no vivo de esto), mi única estrategia de SEO en esta página pasa por generar más y mejor contenido.
Sin embargo, tanto el ASO como el SEO son necesarios en tanto en cuanto tu negocio dependa del alcance orgánico que seamos capaces de obtener. Algo habitual en las aplicaciones y páginas con modelos de negocio publicitarios o con compras internas (apps con compras in-app o comercios electrónicos), como es el caso de la mayoría del malware (que monetiza de mil y un maneras la infección).
Existe posicionamiento ASO (ES) legal, en tanto en cuanto los markets y los buscadores incentivan a que se realice para ser más competitivo, y posicionamiento ASO de sombrero negro (BlackASO).
La dificultad pasa por fijar una línea entre lo que podemos considerar una tergiversación positiva (te has molestado en entender el funcionamiento de los algoritmos de búsqueda, y debido a ello, eres capaz de optimizar el esfuerzo para salir beneficiado en las búsquedas que más ROI te van a ofrecer) y aquella que se hace aprovechándose de vacíos legales, cuando no directamente engañando al sistema y/o a los usuarios.
Tergiversación del número de instalaciones de una aplicación
Un ejemplo de las primeras sería la compra de publicidad en espacios del propio market (u otras aplicaciones), que seguramente aumentarán el número de descargas, una de las variables más importantes de cara al posicionamiento ASO.
Un ejemplo de las segundas, sería la compra de CPI (coste por instalación) a empresas de dudosa reputación y, sin lugar a duda, a un precio mucho menor de lo que cuesta un CPI “oficial”.
¿Qué diferencia hay entre las dos? Que en la primera las instalaciones se hacen de forma orgánica (es el usuario quien, a la vista de esa publicidad, decide instalarla), mientras que en la segunda, o bien se fuerza al usuario a realizarla (por ejemplo, ofreciéndole “monedas virtuales” que puede gastar en una app de la que es usuario activo, engañándole mediante estrategias de ingeniería social,..), o bien el usuario ni siquiera es consciente de ello (no es raro encontrarse con botnets que instalan de forma automática aplicaciones que terceros han pagado para engordar su número de descargas).
Fue muy conocida una investigación publicada por FireEye, que descubrió la campaña NGE Mobi/Xinyinhe (EN) para Android, que rooteaba el teléfono (¿qué casualidad, verdad?, otro de los puntos que NO recomiendo hacer a no ser que sea estrictamente necesario) y realizaba descargas encubiertas de otras apps.
El problema de lo segundo viene también de la mano del riesgo que asumimos, tanto como desarrolladores (los SO móviles y las aplicaciones de seguridad podrían llegar a tacharnos como potencialmente peligrosos, eliminándonos de los markets oficiales y causando muy mala impresión a usuarios actuales y potenciales usuarios), como como usuarios, ya que los controles realizados por los segundos son generalmente nulos, y algunas de las apps que intentan posicionarse de esta manera son precisamente aplicaciones maliciosas.
Tergiversación de la valoración de los usuarios
Otro de los elementos que más se tiene en cuenta a la hora de mostrar los resultados más recomendables en un market de aplicaciones, es la valoración media y las opiniones que hayan dado los usuarios a cada una de las aplicaciones.
Conscientes de su importancia, un experto en ASO recomendará al desarrollador que incluya algún tipo de incentivo para que, después de una temporada probando la app, el usuario se interese en hacer una valoración de la misma.
Esto atiende a un principio psicológico: Tendemos a estar más susceptibles de quejarnos de algo que de aplaudir el buen desempeño del producto, lo que hace que aplicaciones que puedan ser consideradas bastante buenas se encuentren con valoraciones en el market negativas, al no existir un incentivo para lo primero y sí existir incentivo para lo segundo (hacer que el desarrollador sea consciente de un fallo específico, o de supuestos “problemas” como la falta de localización del idioma).
Llevado de nuevo al extremo (BlackASO), proliferan los servicios que bien sea mediante ingeniería social (al igual que antes con las instalaciones), bien sea mediante bots automatizados, votan positiva o negativamente (según queramos mejorar el posicionamiento de nuestras apps o bajar el de la competencia), con opiniones más o menos elaboradas, las aplicaciones.
Algo ilegal (la respuesta está forzada, cuando no directamente es mentira), que decrementa la calidad de un sistema de valoración, y tergiversa el buen funcionamiento de un algoritmo como el que rigen estos markets.
Tergiversación del precio
Otro de los ejemplos utilizados para posicionar temporalmente (y de forma tergiversada) una aplicación:
Subimos nuestra app con un valor por descarga excesivo (por ejemplo, 2000 euros). Nuestros amigos la compran, posicionando rápidamente la app en el top de Apps con mejores ingresos. Cuando ya lo hemos conseguido, nuestros amigos piden devolución (si es que no nos podemos permitir ese desembolso), y nosotros bajamos el precio al precio que debería tener (por ejemplo, 0,99 euros).
¿Es ilegal? Sí, estamos engañando al algoritmo.
¿Puede funcionar? Me temo que si. No es la primera que lo hace, y si no han tomado acción recientemente (que todo puede ser), seguirá funcionando. Un posicionamiento agresivo temporal, pero esa visibilidad seguramente sea suficiente para por ejemplo infectar masivamente a un porcentaje de usuarios. A fin de cuentas, es bastante probable que en unos días nuestra app maliciosa fuera tachada como potencial peligrosa y eliminada de todas formas.
Simplemente tenemos que repetir esto una y otra vez con diferentes apps (misma base, con el código y variables identificativas ocultas mediante distintas técnicas de evasión de controles de seguridad), para tener un negocio muy voluble, pero seguramente rentable.
En definitiva, que hecha la ley, hecha la trampa.
La historia del SEO y el ASO es la historia del gato y el ratón. Conforme más “inteligentes” sean los algoritmos, más inteligentes tendrán que ser las técnicas para aprovecharse de ellos. hoy en día, es prácticamente necesario tener, como mínimo, unas nociones de posicionamiento si queremos tener visibilidad en un buscador, y esto seguramente siga siendo así mientras dependamos de este tipo de sistemas.
Lo que no quita que haya una ralla que no se deba sobrepasar. Esa misma que la industria del cibercrimen no duda en realizar. Pese a que el envoltorio en el que nos la venden sea, a veces, bastante más acertado que el legal.
Es más, les va el trabajo en ello.
________
Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.
Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
