#MundoHacker: Scams de suscripción anunciados en la AppStore

fraude en ios

Esta semana compartía en la intranet de mecenas un artículo sobre el “negocio” de hacer dinero con aplicaciones móviles.

Básicamente la tesis que defendía, datos en mano, era que de cara al usuario no había manera alguna de tan siquiera sacarse unos dólares. Todas estas herramientas están diseñadas para facilitar mucho la vida al principio, y para volverse cada vez más pesadas hasta que el usuario acaba por darse por vencido antes tan siquiera de cobrar el primer pago.

El título, “Ganar dinero en base a aplicaciones móviles es una mera utopía“, daba fe de ello. Pero claro, como decía, me estaba poniendo del lado del usuario. Hoy vamos a ver el otro lado: el de los estafadores.

De hecho, y volviendo al tema que nos compete, iOS tiene todos los elementos para hacer de su sistema operativo uno de los más seguros del mercado de la electrónica de consumo. Un sistema fuertemente capado, en el que todas las aplicaciones operan en una suerte de sandboxes incomunicados entre sí, y solo comunicados con el sistema mediante una muy limitada y controlada serie de permisos. Una estrategia basada en jardines vallados que, desde el punto de vista de la seguridad, es todo un acierto.

Pero no es la panacea.

El caso de “Mobile protection :Clean & Security VPN”

Javi González (ES), un lector ávido (y crítico) con el contenido que diariamente publico, me compartía recientemente por un privado de Google+ un enlace al artículo en Medium de Johnny Lin titulado How to Make $80,000 Per Month on the Apple App Store (EN), en el que este hombre fundamentaba una pequeña investigación que había hecho sobre la evolución del scam en la AppStore.

Para ello, recogía el testigo que dejaba Phil Schiller en el pasado WWDC, asegurando que en este último año Apple había pagado a los desarrolladores de apps 21.000 millones de dólares, 70.000 millones desde que la AppStore naciera.

Algo que debería ya de por sí levantar todas las alarmas. Porque si hay algo más importante para el cibercrimen que la cantidad de potenciales víctimas, ese algo es el negocio que pueda haber detrás. Y aunque Android sea líder del mercado en cuanto a volumen, el negocio sigue estando en el market de los de Cupertino.

Así pues, el bueno de Johnny se preguntó cómo podría forrarse siendo desarrollador. Y la respuesta, revisando los tops de beneficios del market, vino de la mano de las aplicaciones de productividad.

Un listado que, como cabría esperar, lideran grandes servicios de la talla de Dropbox, Evernote u OneDrive, con algunos sospechosos sorprendentes como es el caso de la aplicación anteriormente citada: “Mobile protection :Clean & Security VPN”.

Revisando la página de descarga ya la cosa empieza a oler mal:

  • La aplicación de seguridad definitiva: Por lo que parece, no solo te protege de cualquier tipo de amenaza, sino que cifra todas las comunicaciones que entran y salen (VPN), e incluso te mantiene optimizado el dispositivo. Y hay más, porque también es capaz de dar solución a “problemas de seguridad” como es, al parecer, el duplicado de contactos. Primera vez que tengo constancia de esto :).
  • Faltas de ortografía y errores gramaticales: Hasta en el propio nombre de la aplicación, imagínese en la descripción y en todos los textos que aparecen. Quien lo ha escrito sabe lo justo de inglés. Pero vaya, que algo bien estará haciendo ya que es el número 10 de ingresos en el market americano…
  • El autor es un desarrollador, no una compañía: Detrás de este gran negocio no hay una compañía, sino un profesional. Un tal “Ngan Vo Thi Thuy”. Que oye, posible es. Si de algo han servido los markets de aplicaciones es precisamente para democratizar el mercado del desarrollo. A día de hoy, cualquiera con conocimientos en la industria puede llegar a tener éxito con uno o varios desarrollos por sí mismo, únicamente haciendo uso de la capacidad de difusión de un market centralizado, y sin precisar el hasta el momento necesario apoyo de organizaciones con recursos suficientes. Lo que no quita que el mercado haya madurado lo suficiente como para que la mayoría de aquellos primeros grandes éxitos de un profesional aislado hayan acabado por transformarse en compañías. Justo lo que les ha pasado, precisamente, a Evernote o Dropbox, y que en suma son a día de hoy mayoritariamente quienes lideran el mercado.
  • Comentarios y ciclo de vida: Cientos de comentarios de 5 estrellas, del tipo “ok”, “Excellent”, y compañía. Cualquiera podría llegar a pensar que ha comprado valoraciones… Máxime siendo conscientes que la app tiene tan solo dos meses de vida. Pero vaya, que eso es imposible en iOS. ¡Si la AppStore es el lugar más seguro del mundo!

Pero bueno, que hay que dar el beneplácito de la duda a ese tal “Ngan”, y como mínimo molestarse en entender qué ha hecho para facturar en apenas un par de meses algo más de 150.000 dólares. Johnny instaló la aplicación en uno de sus dispositivos, y acabó encontrando lo que ya todos nos deberíamos esperar:

  • Petición de permisos exagerada: Nada más instalarla lo primero que le muestra es un popup en el que le pide que le conceda acceso de lectura y escritura de sus contactos (por supuesto, con faltas de ortografía). Algo que tiene sentido, habida cuenta de que va a evitarle “el riesgo que supone tener contactos duplicados”, pero que ya debería mosquear a cualquiera. Por cierto, que la única opción que le da es un botón de “Agree”, aunque afortunadamente, luego pueda desactivarlo ya dentro de la página de ajustes de permisos del propio sistema.
  • ¡El dispositivo está en riesgo!: Pasado este primer punto, la aplicación nos muestra una alerta urgente, que puede estar en amarillo o en rojo, según el grado de riesgo que estemos corriendo. “Your device is at risk”, reza un texto en el medio de la pantalla, recomendándole pasar una serie de test en los que, de paso, le “recomendarán” instalar alguna que otra aplicación Antivirus, así como popups publicitarios que redirigen a webs y aplicaciones de juegos. Claro que el dispositivo está en riesgo. De hecho, hace unos minutos no lo estaba :).
  • La suscripción “gratuita”: Aquí está la guinda del pastel. El último punto, necesario para tener el dispositivo “totalmente protegido”, pasa por suscribirnos a la versión premium de la aplicación. Una versión que cuesta 99,99 dólares… ¡a la semana! Aunque eso sí, la primera primera semana al parecer es gratuita. Y para aceptar, tan sencillo como poner el dedo en el Touch ID.

free trial ios

El negocio redondo de los scams de la AppStore

Echando unos cálculos rápidos, a 400 dólares mensuales por víctima, este caradura únicamente necesita que 200 personas hayan caído en la trampa para facturar 80.000 dólares mensuales. 960.000 en un año. Siendo conscientes de que Apple se queda un 30% de las suscripciones, esto significan unos beneficios de 288.000 dólares para la compañía… solo de una app.

Y lo más preocupante de todo, que Lin también señala en su pieza, es que para conseguir esas 200 víctimas en efecto ha tenido que tener un volumen considerable de descargas. Concretamente, alrededor de 50.000 en Abril. Lo que hace un 0,4% de tasa de conversión.

Para que se haga una idea, mi tasa de conversión actual de miembros de la Comunidad (suscriptores gratuitos) y mecenas (suscriptores de pago) es del 3%. La tasa media de conversión en la mayoría de ecommerces es del 1%. Un 0,4% es hasta aceptable teniendo en cuenta lo absurdo de toda esta historia. Pero es que a poco que mejorase el diseño, la usabilidad y la legibilidad de la aplicación, podría ser considerablemente mayor.

Siendo conscientes de que por mucho Black ASO (posicionamiento en markets de aplicaciones mediante tácticas ilegales) y Black SEO (lo mismo pero para posicionamiento en buscadores) que haya realizado, conseguir esas 50ks de descargas se nos antoja un poco difícil en apenas un mes, la duda que queda es conocer cómo ha conseguido posicionarse tan bien con una aplicación tan claramente fraudulenta.

Y la respuesta está, nuevamente, en las herramientas que Apple pone a disposición de sus desarrolladores: la App Store Search Ads (EN).

Este es el nombre que tiene el sistema de publicidad del market de aplicaciones en iOS. Una herramienta que al parecer permite que alegremente los cibercriminales anuncien ahí sus scams. Basta con que cualquiera realice una búsqueda sobre “Wifi”, o cualquier otra keyword sospechosa habitual, para darse cuenta que las recomendaciones pertenecen en la mayoría de casos a aplicaciones con pagos in-app (presumiblemente suscripciones) que prometen el oro y el moro.

Wifi fail app

Las directrices de seguridad de Apple no son las adecuadas

Para que este fraude tenga éxito ha sido necesario que se junten dos elementos, en ambos casos muy mejorables por parte de los chicos de Cupertino:

La alerta de suscripción con TouchID

La interfaz de suscripción de iOS mediante TouchID no da mayor relevancia gráfica al precio de la suscripción que al propio texto que puede incluir el desarrollador. Esto ha permitido a este estafador colar un “Free Trial” que se muestra justo delante del precio de la suscripción (casi 100 dólares a la semana).

La mayoría de víctimas verán eso y directamente pensarán que en efecto la primera semana no van a pagar, cuando realmente pagarán desde el día uno.

Para colmo, en iOS, el botón de cerrar la aplicación es el mismo botón que tiene el TouchID, por lo que la única manera de no suscribirse a este fraude es dándole a Cancelar en la pantalla, y luego cerrando la aplicación/eliminándola.

El fraude también gana puntos por la decisión de hacer la suscripción semanal (la mayoría de suscripciones a las que el usuario está acostumbrado son mensuales).

¿Qué podría hacer Apple para solventarlo?

  • Diferenciar a nivel de diseño el precio de la suscripción del Call to Action incluido por el desarrollador: Bastaría con colocarlos en diferentes párrafos, y anteponiendo en negritas el valor de la suscripción. Incluso se podría dejar el CTA del desarrollador en itálica y entrecomillado, para que quedara bien claro qué es texto creado por el desarrollador (y, por tanto, susceptible a ser pasto de estrategias de venta agresivas, cuando no directamente fraudulentas), y qué es lo que realmente vamos a pagar.
  • Incluir un delay de unos segundos a la hora de aceptar el pago con Touch ID: Vale que los iPhones y los iPad solo tienen un botón, y que por tanto éste será el único que pueda gestionar las dos cosas. Pero debería forzarse al usuario a pensar antes de que en efecto pueda hacer algo tan crítico como es suscribirse a un servicio de pago. Que al menos tenga la opción de cerrar la aplicación sin tener que aceptar por defecto la suscripción.
  • Facilitar al usuario cancelar la suscripción a un servicio: A día de hoy, para cancelar una suscripción, es necesario ir a la aplicación Settings > iTunes y App Store > clickar en nuestro Apple ID > Ver Apple ID > Meter nuestra contraseña > Ir a Suscripciones > Buscar la suscripción y clickar en ella > Clickar en Cancelar Suscripción > Clickar en Confirmar… Ahora dígalo todo de seguido sin respirar :). ¿En serio es recomendable que esté tan oculto? ¿Costaría tanto que una vez borramos la aplicación el sistema nos sugiriera si queremos o no seguir suscritos a los servicios contratados desde ella?

Las políticas de acceso a la publicidad de la App Store

Vale que Apple es relativamente nueva en esto de la publicidad, pero los controles de seguridad para aceptar o no publicidad deberían ser bastante más estrictos. Y lo mismo se puede aplicar a las aplicaciones que la compañía permite difundir en la AppStore.

Como mínimo, revisar si existen clones de esta aplicación (hasta cuatro clones distintos (ENx4)tenía la dichosa Mobile Protection), el historial del desarrollador (mayores controles tanto para los que ya han sido penalizados, como para los nuevos), y que salten alertas que sean revisadas por personas cuando aparecen palabras específicas del tipo “Free”, “Antivirus”, “Linterna”... Un estudio de las keywords más habituales en apps fraudulentas que engorden esa base de datos de alertas tempranas.

Además, entiendo que debería haber niveles de criticidad según los permisos que requiera la aplicación (ya lo estarán aplicando), y también según el modelo de negocio. No es lo mismo una app gratuita, que otra que muestra publicidad, que otra de pago, máxime si esto se realiza mediante compras in-app.

Por supuesto, existe la opción, por parte del usuario, de denunciar aplicaciones maliciosas. En la página de cada aplicación te dan la opción a hacerlo. Ahora habría que ver cuánto tiempo tarda Apple en tomar en consideración la alerta, y qué porcentaje de víctimas son conscientes de ello, y además, deciden denunciarlo.

Si publicar una aplicación en el market de aplicaciones oficiales debería contar con un sistema de review lo suficientemente estricto, imagínese cómo debería ser esta review para todos aquellos que además quieren promocinarla. Porque ya no solo estás ofreciendo tu espacio para que terceros difundan sus servicios, sino que además están dotando de mayor exposición a aplicaciones que parece que no han sido ni tan siquiera revisadas por un humano.

¿400$ por una suscripción mensual a un antivirus en un sistema operativo basado en sandboxing no debería llamar la atención de alguien en Apple? ¿No debería, como mínimo, levantar alguna sospecha que incentive a alguien a revisar manualmente cómo funciona esa app?

Que sí. Que soy consciente de que esto es fácil decirlo pero difícil de implementar. Y que es un problema que aplica tanto para Apple como para Google, Microsoft, Amazon, Yahoo, Ubuntu y, en definitiva, a cualquier ecosistema que se nutra del trabajo de terceros. Siempre va a haber resquicios que los malos aprovechen, habida cuenta de que encontrar el equilibrio perfecto entre logística y seguridad es mera utopía.

Si das tu brazo a torcer mucho, puede ocurrir que haya caraduras reincidentes. Si decides controlar esto y banear a todo aquel que se aproveche de este tipo de situaciones, por un lado tienes que hallar el punto medio aceptable (¿hasta qué punto usar un título pretencioso es fraude o simplemente marketing?), y además, te van a acusar de censor, tan pronto en ese tenso equilibro acabes por criminalizar a alguien que realmente no pretendía hacer nada ilegal.

Lo que no quita que haya que intentarlo.

Que si eres la empresa más valiosa del mundo, tengas que anteponer la seguridad de tus usuarios al negocio, quizás perdiendo por el camino unos cuantos miles de millones de beneficios compartidos con scammers y demás farándula del mundillo del cibercrimen.

Es una empresa titánica. Soy consciente de ello.

Pero es su deber como proveedor, juez y verdugo de este ecosistema.

 

________

Puede ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias