El malware es una amenaza constante para los usuarios de Android que descargan apps de la tienda Google Play, que dispone de 2,7 millones de apps para elegir. Y aunque Google mantiene un sistema llamado Bouncer (segurata) que busca y elimina apps maliciosas, muchas de ellas han esquivado su red de seguridad.

Por eso, el investigador de la Universidad Internacional de Florida en Miami (EEUU) Mahmudur Rahman y sus compañeros han desarrollado un sistema llamado FairPlay (JuegoLimpio) que utiliza un enfoque totalmente distinto para buscar elementos sospechosos en Google Play.

En lugar de rastrear el código en busca de software malicioso, FairPlay sigue el rastro que dejan los usuarios malintencionados cuando inflan la nota de las apps de forma fraudulenta. Al seguir esta huella, FairPlay puede detectar actividades que de otro modo se colarían por el sistema de seguridad de Google.

El equipo de Rahman basa su nuevo enfoque en una curiosa observación: los usuarios que publican calificaciones fraudulentas para impulsar sus apps maliciosas tienden a utilizar la misma cuenta para muchas apps distintas. Así que una vez identificadas, son fáciles de rastrear.

Este patrón de comportamiento tiene lógica. Para publicar una crítica o una calificación en Google Play, los usuarios deben disponer de una cuenta de Google, registrar un dispositivo móvil asociado a esa cuenta y después instalar la app en ese dispositivo.

Eso provoca que generar muchas cuentas distintas sea complicado. Así que, para facilitarse la vida, los usuarios maliciosos tienden a utilizar sólo una. El enfoque del equipo de Rahman identifica las cuentas sospechosas y después monitoriza su actividad.

Para ello, descargaron las críticas y calificaciones asociadas a todas las apps añadidas a Google Play entre octubre 2014 y mayo 2015. Son cerca de 90.000 apps y tres millones de opiniones.

Entonces utilizaron herramientas antivirus tradicionales en colaboración con expertos en apps fraudulentas para identificar manualmente las más de 200 que contenían malware. Esto crea un "estándar de oro" de datos asociados a las apps maliciosas. Después, los expertos identificaron 15 cuentas de Google desde las que se enviaron las opiniones fraudulentas, las cuales generaron críticas para más de 200 apps fraudulentas.

Estas 200 apps recibieron 53.000 críticas más. Gracias a la minería de datos, el equipo detectó otras 188 cuentas más que también habían proporcionado críticas para al menos 10 de las apps fraudulentas. Rahman detalla: "Denominamos estas cuentas como 'culpables por asociación'".

De toda esta actividad fraudulenta, seleccionaron 400 críticas falsas para entrenar un algoritmo de aprendizaje automático. El objetivo era que aprendiera a detectar otros comentarios similares.

También diseñaron FairPlay para estudiar otros indicadores potenciales de comportamientos sospechosos, como el número de permisos que solicita una app y cómo evolucionan las críticas con el paso del tiempo, ya que las críticas de las apps fraudulentas suelen mostrar picos de actividad anormales.

Por último, liberaron el algoritmo en el conjunto de datos de 90.000 apps recién añadidas a Google Play. 

Los resultados representan son interesantes. "FairPlay ha descubierto cientos de apps fraudulentas que actualmente evaden la tecnología de detección Bouncer de Google", afirma el equipo.

Y lo que es más importante, el algoritmo también revela una forma totalmente nueva de coacción que obliga a usuarios corrientes a escribir críticas positivas para apps maliciosas. "FairPlay nos ha permitido descubrir un nuevo tipo de campaña de ataque, en la que los usuarios son acosados para escribir una crítica positiva sobre la app y para que instalen y proporcionen críticas para otras apps", explica el equipo.

Este ataque bombardea a los usuarios con anuncios o busca otras estrategias para impedirles disfrutar de los juegos. Para eliminar los anuncios, desbloquear otro nivel del juego u obtener prestaciones adicionales deben escribir críticas positivas.

El equipo de Rahman destapó este acoso al minar los datos de las críticas. En un subconjunto de 3.000 críticas, el equipo descubrió que 118 de ellas relataban algún tipo de coacción. Por ejemplo, los usuarios escribieron: "Sólo la he calificado porque no quería que saliera el mensaje mientras juego" o "Ni siquiera pude disfrutar de un nivel antes de tener que calificarla [...] y me están diciendo que asigne cinco estrellas a la app".

El trabajo revela una forma totalmente nueva de coacción y ataque que el sistema de Google es incapaz de detectar.

Así que la pregunta es: ¿ahora qué? Identificar este tipo de comportamientos ayuda a abordarlos e eliminarlos. Pero en este juego de gato y ratón, sólo será cuestión de tiempo que los usuarios malintencionados elaboren otra ingeniosa forma de hacer trampas.

Ref: arxiv.org/abs/1703.02002: FairPlay: Fraud and Malware Detection in Google Play