Cómo subir aplicaciones maliciosas a Google Play (análisis y evasión de Google Bouncer)

Jon Oberheide y Charlie Miller dieron una interesante charla en la SummerCon de este año bautizada como 'Dissecting The Android Bouncer' en la que demostraban que el Google Bouncer con el que Google escanea aplicaciones en su tienda Google Play es inseguro.

Para los que no habíais leído nada antes acerca de este Bouncer, deciros que se trata de un sandbox que emula un entorno Android y ejecuta la aplicación durante 5 minutos para una análisis dinámico de la misma. Este entorno se ejecuta en la infraestructura de Google y permite acceso externo, así que ambos investigadores enviaron varias aplicaciones falsas para registrar procesos y lanzar una conexión inversa contra la instancia QEmu en los servidores de Google.

Gracias a esto pudieron recopilar información suficiente para obtener un "fingerprint" del Bouncer. Y, ¿para qué?. Pues está claro. Para subir una aplicación capaz de analizar el entorno donde se está ejecutando y enmascararse si detecta que está siendo evaluada por este sistema.

En el siguiente video se puede observar todo el proceso y demás datos que recolectaron de las instancias de Google Bouncer:

 

Comentarios