10 febrero 2022
Shenzhen HAWK Internet Co., Ltd es una empresa china que desarrolla en secreto 24 aplicaciones populares, con un total de más de 382 millones de instalaciones. Algunas de ellas contienen malware y rogueware, y a menudo participan en prácticas poco éticas.
Actualización nº1: luego publicar la investigación, Zak Doffman de Forbes se puso en contacto con Google, que eliminó rápidamente de su Play Store las 24 aplicaciones de la red de Shenzhen HAWK. Google respondió que se toman en serio los informes de violaciones de seguridad y privacidad. «Si descubrimos un comportamiento que viola nuestras políticas, tomamos medidas».
Actualización nº2: la mega empresa matriz de Shenzhen HAWK, TCL Corporation, ha respondido ahora, alegando que entienden las acciones de Google para eliminar todas las aplicaciones de Shenzhen y están «trabajando activamente con ellos para comprender mejor sus preocupaciones». También planean contratar a un consultor de seguridad externo que auditará cada una de sus aplicaciones para ofrecer a sus clientes «tranquilidad y confianza».
Cuando analizamos las 23 compañías que estaban en secreto detrás de más de 100 productos VPN, vimos por primera vez al desarrollador Hi Security, que tenía 3 productos VPN bajo su nombre.
Nuestros intereses despertaron, así que profundizamos más y descubrimos algo alarmante:
Hay una compañía china llamada Shenzhen HAWK que está secretamente detrás no solo del desarrollador de aplicaciones Hi Security, sino también de otros 4 desarrolladores de aplicaciones, para un total de 24 aplicaciones con 382 millones de descargas entre sí. Algunas de estas aplicaciones son conocidas por contener malware y rogueware.
Primero, está la aplicación Weather Forecast (infectada con malware, por cierto) que recopiló los datos de millones de usuarios y los envió a un servidor en China. La aplicación también suscribió a los usuarios a números de teléfono premium, lo que generó grandes cargos en las facturas telefónicas de esos usuarios. Para empeorar las cosas, la aplicación abriría ventanas de navegador ocultas y haría clic en anuncios de ciertas páginas web.
En otro caso, el gobierno indio en 2017 también advirtió a su ejército y miembros paramilitares que eliminen Virus Cleaner de sus teléfonos porque fueron identificados como spyware u otro malware. En 2018, las aplicaciones predeterminadas en los teléfonos Alcatel, desarrolladas por Shenzhen HAWK, fueron reemplazadas por aplicaciones plagadas de adware, frustrando a los usuarios con un montón de anuncios.
Todas estas aplicaciones afectadas, por cierto, todavía están disponibles para descargar en Google Play. Nuestra investigación ha descubierto que también están pidiendo una gran cantidad de permisos peligrosos, lo que podría poner en riesgo los datos privados de los usuarios. Estos peligrosos permisos incluyen la capacidad de hacer llamadas, tomar fotos, grabar vídeos, audios y mucho más.
Debido a que Google hasta ahora no ha podido eliminar estas aplicaciones de la Play Store, recomendamos a los usuarios que se tomen este asunto en serio y se pregunten si de verdad necesitan estas aplicaciones. Si no brindan ningún beneficio real, recomendamos eliminarlas del teléfono lo antes posible.
Shenzhen HAWK, TCL y China
En su página de empresa, Shenzhen HAWK enumera 13 aplicaciones como suyas:
En su página se incluyen estas aplicaciones y los nombres de sus desarrolladores que figuran en Google Play:
- Super Cleaner desarrollada por Hawk App
- Hi Security desarrollada por Hi Security
- Candy desarrollada por ViewYeah Studio
- Super Battery desarrollada por Hawk App
- Gallery desarrollada por Alcatel Innovative Lab
- Hi VPN desarrollada por Hi Security
- Net Master desarrollada por Hi Security
- filemanager desarrollada por mie-alcatel.support
- Apps (no está en Google Play)
- Calculator (no está en Google Play)
- Joy Recorder desarrollada por mie-alcatel.support
- Weather desarrollada por mie-alcatel.support
- Launcher desarrollada por mie-alcatel.support
Sin embargo, cuando investigamos a cada uno de los 5 desarrolladores de aplicaciones que crean estas aplicaciones, descubrimos que en realidad había 24 aplicaciones diferentes en la red de Shenzhen HAWK.
En su página de Acerca de, Shenzhen HAWK se enumera a sí misma como una subsidiaria de propiedad total de TCL Corporation, una importante empresa china también con sede en la provincia de Guangdong.
TCL Corporation tiene al menos 52 filiales en todo el mundo y posee los derechos de licencia de Alcatel, BlackBerry y RCA, entre otros. También tiene fuertes lazos con el gobierno chino, comenzando a principios de la década del 2000 como una empresa estatal y creciendo hasta convertirse en una gran corporación a través del apoyo del gobierno.
También tiene fuertes lazos con el gobierno chino, comenzando a principios de la década del 2000 como una empresa estatal y creciendo hasta convertirse en una gran corporación a través del apoyo del gobierno.
Esto puede ser bastante problemático para los usuarios que buscan privacidad: China es un país desafiante y represivo con leyes de retención de datos muy estrictas. Requiere que las compañías que operan en China almacenen datos en servidores locales y den acceso ilimitado a esos servicios a las autoridades que lo soliciten.
China también es conocida por su fuerte deseo de una mayor vigilancia, tanto dentro de sus propias fronteras como en todo el mundo.
Pero no es solo la ubicación lo que debería preocupar a los usuarios.
También está el hecho de que Shenzhen HAWK ha estado expuesto a graves riesgos de privacidad y seguridad en el pasado.
Reputación manchada de Shenzhen HAWK
Algunas de las aplicaciones de Shenzhen HAWK han aparecido en las noticias por problemas relacionados con malware, prácticas poco éticas y privacidad inadecuada.
Las aplicaciones de Alcatel infectan secretamente los teléfonos con malware y adware
Desde 2005, TCL Corporation posee los derechos de licencia de la marca Alcatel, y la subsidiaria de TCL, Shenzhen HAWK, desarrolla 7 aplicaciones hechas específicamente para teléfonos Alcatel.
ZDNet escribe que una aplicación predeterminada de Alcatel, Weather Forecast, estaba comprometida con malware, posiblemente infectando a millones de dispositivos de los usuarios. Según la empresa de seguridad móvil con sede en el Reino Unido, Upstream, la aplicación meteorológica recolectó datos de los usuarios y los envió a un servidor en China.
Los investigadores señalaron que la aplicación “recopila y transmite ubicaciones geográficas, direcciones de correo electrónico e IMEIs a un servidor en China y tiene varios permisos invasivos de privacidad en el dispositivo”.
En ciertos países, el código malicioso dentro de la aplicación intentaría suscribir a los usuarios a números de teléfono premium sin su conocimiento, lo que generaría grandes cargos en las facturas telefónicas de los usuarios. En Brasil, por ejemplo, se realizaron 2,5 millones de intentos de transacción entre julio y agosto de 2018 con aproximadamente 130.000 números de teléfono.
La aplicación meteorológica también se ejecutaría en segundo plano, iniciando en secreto ventanas ocultas del navegador y haciendo clic en anuncios de ciertas páginas web, utilizando subrepticiamente 50-250 MB de datos por día.
Además, a principios de 2018, los usuarios de teléfonos Alcatel notaron que algunas aplicaciones de Alcatel se habían actualizado para incluir anuncios, muchos anuncios. Algunas aplicaciones predeterminadas de Alcatel, como Gallery, se cambiaron a Candy Gallery, con un nombre de desarrollador de aplicaciones completamente nuevo en la lista.
Según los usuarios de Reddit, otras cinco aplicaciones predeterminadas también fueron reemplazadas por contenido con publicidad. SlashGear fue un paso más lejos y a estos los llamó “adware”.
La aplicación Hi Security fue prohibida por el gobierno indio
En 2017, el gobierno de la India advirtió al ejército y a los paramilitares que eliminen una serie de aplicaciones de origen chino de sus teléfonos. La agencia de inteligencia del gobierno identificó estas 42 aplicaciones móviles como spyware u otro tipo de malware.
En esa lista se incluye una aplicación: Virus Cleaner 2019: Antivirus, Cleaner & Booster desarrollada por Hi Security, propiedad de Shenzhen HAWK.
Virus Cleaner 2019 ya ha sido descargada unas 50 millones de veces, según Google Play.
¿Qué permisos piden las aplicaciones de Shenzhen HAWK?
Veamos cada permiso peligroso para comprender cómo utilizan las aplicaciones estos permisos, así como qué tipo de riesgo de privacidad y seguridad representa para el usuario. La lista a continuación está organizada por niveles de riesgo de mayor a menor.
| Permiso peligroso | Nivel de riesgo | Descripción del permiso |
|---|---|---|
CAMERA Aplicaciones solicitadas: 6/24 | ALTO | Esto da permiso a las aplicaciones para acceder a la cámara del dispositivo. |
CALL_PHONE Aplicaciones solicitadas: 2/24 | ALTO | Al obtener este permiso, las aplicaciones pueden hacer una llamada directamente desde la aplicación, sin la necesidad de usar el Marcador o la confirmación del usuario. |
ACCESS_FINE_LOCATION Aplicaciones solicitadas: 15/24 | ALTO | Esto presenta un alto riesgo para la privacidad, ya que la mayoría de las aplicaciones no parecen necesitarlo en absoluto. Este permiso permite que las aplicaciones usen el GPS, datos móviles y/o Wi-Fi para obtener la ubicación precisa del usuario. |
READ_EXTERNAL_STORAGE Aplicaciones solicitadas: 15/24 | ALTO | Esto permite que la aplicación lea los archivos guardados, incluidos los registros del sistema, los archivos de otras aplicaciones, etc. |
READ_PHONE_STATE Aplicaciones solicitadas: 14/24 | ALTO | Este permiso deja que las aplicaciones recopilen información del teléfono del usuario: información de la red celular, cuentas de teléfono registradas conectadas y estado de las llamadas en curso. |
READ_CONTACTS Aplicaciones solicitadas: 2/24 | ALTO | Esto permite que las aplicacionoes revisen los contactos de tu teléfono. |
RECORD_AUDIO Aplicaciones solicitadas: 1/24 | ALTO | Esto permite que cualquier aplicación grabe audio y almacene ese audio en el dispositivo o en los servidores de la aplicación. |
ACCESS_COARSE_LOCATION Aplicaciones solicitadas: 13/24 | MEDIO | Este permiso deja que las aplicaciones recopilen la ubicación general de un usuario a través del Wi-Fi y/o datos móviles. |
GET_ACCOUNTS Aplicaciones solicitadas: 9/24 | MEDIO | Este permiso brinda a las aplicaciones la capacidad de acceder a una lista de cuentas en el Servicio de Cuentas. |
WRITE_EXTERNAL_STORAGE Aplicaciones solicitadas: 21/24 | MEDIO | Esto permite que las aplicaciones carguen archivos en el almacenamiento del dispositivo de los usuarios. |
READ_CALENDAR Aplicaciones solicitadas: 2/24 | MEDIO | Esto permite a la aplicación la capacidad de leer tu calendario personal. |
WRITE_CALENDAR Aplicaciones solicitadas: 1/24 | MEDIO | Esto permite que la aplicación agregue eventos a tu calendario. |
Permisos peligrosos por aplicación
No todas las aplicaciones de Shenzhen HAWK solicitan permisos más peligrosos de los que necesitan. Por ejemplo, Word Crossy sólo solicita la capacidad de subir archivos al dispositivo. Sin embargo, Calendar Lite solicita permiso para leer los registros de los usuarios, a pesar de que no requiere esa función.
Tabla número 2. Muestra de solicitudes de permisos peligrosos de 5 aplicaciones de Shenzhen HAWK con diferentes nombres de desarrollador.
| Nombre de la aplicación | Número de permisos peligrosos | Nombre del permiso de la aplicación |
|---|---|---|
Virus Cleaner 2019 – Antivirus, Cleaner & Booster
Descargas en Google Play: 100 millones Desarrollador: Hi Security | 9 |
|
Candy Selfie Camera – Kawaii Photo, Beauty Plus Cam
Descargas en Google Play: 10 millones Desarrollador: ViewYeah Studio | 8 |
|
Super Cleaner – Antivirus, Booster, Phone Cleaner
Descargas en Google Play: 5 millones Desarrollador: Hi Security | 7 |
|
Calendar Lite
Descargas en Google Play: 5 millones Desarrollador: mie-alcatel.support | 7 |
|
Sound Recorder: Recorder & Voice Changer Free
Descargas en Google Play: 10 millones Desarrollador: mie-alcatel.support | 4 |
|
De la tabla anterior surgen muchas preguntas lógicas:
- ¿Por qué un antivirus necesita usar la cámara?
- ¿Por qué una aplicación de cámara necesita tantos permisos, incluida la capacidad de leer registros, leer tus archivos, etc.?
- ¿Por qué una grabadora de audio necesita usar una cámara?
Razones para permisos peligrosos innecesarios
Cuando miramos a través de estos peligrosos permisos solicitados por estas aplicaciones, es importante comprender en primer lugar por qué lo hacen.
Venta de datos
La razón más probable (y legal) por la que las aplicaciones pueden querer muchos permisos es vender esos datos a terceros. Lo más lucrativo son tus datos de ubicación: ubicación aproximada y precisa, que puede identificar tu ubicación en unos pocos metros.
Las aplicaciones pueden enviar tus datos de ubicación 14.000 veces al día, lo que significa que tendrán una muy buena idea de tus movimientos diarios. Incluso pueden ver en qué piso estás en un edificio. Con estos datos de ubicación, las aplicaciones pueden ganar mucho dinero: una compañía paga a los desarrolladores $4/mes por cada 1000 usuarios activos mensuales.
Si las aplicaciones tienen al menos 10.000.000 de usuarios mensuales, eso equivaldría a $4000 por mes.
Usos ilegales
Los desarrolladores de aplicaciones menos escrupulosos pueden usar estos permisos para sus propios fines ilegales, como lanzar ransomware una vez que los usuarios les otorgan permisos especiales. Otros pueden usar datos de permisos peligrosos para vender en el mercado negro, incluida la información de tus contactos, mensajes privados, fotos, vídeos y más.
Desafortunadamente para Shenzhen HAWK, esto no es teórico. Una de sus aplicaciones, Weather Forecast, fue atrapada recolectando datos de usuario y enviándolos a un servidor en China.
Se han descubierto aplicaciones que utilizan el permiso de llamar por teléfono para hacer llamadas telefónicas maliciosas, además de recolectar y enviar datos a un sitio remoto.
Hay muchas cosas financieramente lucrativas, legales o ilegales, que los desarrolladores de aplicaciones pueden hacer con los datos del usuario.
Conclusión
Las aplicaciones bajo el paraguas de Shenzhen HAWK tienen algunos problemas críticos que deberían hacer que los usuarios hagan una pausa:
- Tienen un historial de malware, rogueware o prácticas poco éticas.
- Piden una gran cantidad de permisos peligrosos innecesarios.
En conjunto, los usuarios deben considerar seriamente si los beneficios percibidos superarán todo lo negativo encontrado. En general, al seleccionar aplicaciones para usar, y especialmente al darles acceso a partes sensibles de tu teléfono, los usuarios deben estar muy atentos.
Las aplicaciones que parecen inocentes en realidad pueden estar leyendo y cambiando tus archivos, vendiendo tus datos, o haciendo algo mucho peor. Después de todo, al final del día, tú eres la última línea de defensa contra un software malicioso.
Échale un vistazo a nuestras otras investigaciones:
- Cómo vencer al algoritmo de Google Play y obtener 280 millones de descargas
- Estos 101 productos de Red Privada Virtual son operados por sólo 23 compañías
- ¿Quién está dominando el creciente mercado de las VPNs ahora mismo? Aquí están los números
- VPN anónima: ¿qué tan privada es tu compra de VPN?
