Desarrollador chino de aplicaciones con más 157 millones de descargas solicita peligrosos permisos y contiene malware troyano

Actualizado el: mayo 26, 2020
Permisos peligrosos aplicación de vídeos

VivaVideo es una de las mayores aplicaciones gratuitas de edición de vídeo para Android, con al menos 100 millones de descargas en la Play Store. Desafortunadamente, la aplicación también tiene un historial de malware: en 2017, fue mencionada como una de las 40 aplicaciones sospechosas de spyware en un aviso en todo el país para todas las tropas militares y paramilitares indias, con una recomendación de eliminar las aplicaciones de inmediato.

Esta aplicación de edición de vídeo también solicita una gran cantidad de permisos peligrosos, incluida la capacidad de leer y escribir archivos en unidades externas, además de la ubicación GPS específica del usuario (que definitivamente no es necesaria para una aplicación de edición de vídeo).

VivaVideo es desarrollado por QuVideo Inc (que opera como VivaVideo), una empresa china con sede en Hangzhou. Este desarrollador de aplicaciones también crea SlidePlus (con 1M de descargas), con permisos peligrosos igualmente innecesarios, además de una versión paga de VivaVideo. Si bien puede parecer que QuVideo solo tiene 3 aplicaciones en Play, encontramos 5 aplicaciones en total dentro de su red.

En la tienda de aplicaciones de Apple, vemos que QuVideo en realidad desarrolla 4 aplicaciones: VivaVideo y SlidePlus, además de VivaCut y Tempo. Estas dos últimas aplicaciones se publican en Play con diferentes nombres de desarrollador, ocultando su conexión con QuVideo Inc.

Más allá de eso, descubrimos que QuVideo también posee la popular aplicación india VidStatus, que tiene más de 50 millones de descargas en Google Play. VidStatus, que es una herramienta de “estado de video” para WhatsApp, solicita 9 permisos peligrosos, que incluyen GPS, la capacidad de leer el estado del teléfono, leer contactos e incluso revisar el registro de llamadas de un usuario. La aplicación también fue identificada como malware por Microsoft, que contiene un troyano conocido como AndroidOS / AndroRat. Este tipo de troyanos pueden robar los fondos del banco, de criptomonedas o de las cuentas PayPal de las personas.

QuVideo no reclama oficialmente VidStatus, VivaCut o Tempo en la Play Store. Otra importante aplicación india de video social relacionada con WhatsApp, conocida como ShareChat, tiene tres conexiones sospechosas con QuVideo, incluida la misma clave API dentro del archivo de la aplicación (APK), páginas de inicio similares y estructuras de URL.

Debido a este historial de malware y troyano activo, y que QuVideo oculta su conexión con algunas de sus aplicaciones, recomendamos a los usuarios que tengan precaución con cualquiera de estas aplicaciones. En general, si los usuarios encuentran que estas aplicaciones QuVideo no brindan ningún beneficio real, recomendamos eliminarlas de sus teléfonos lo antes posible.

Puntos clave

  • QuVideo Inc es una compañía china que también opera bajo los nombres de XiaoYing y Hangzhou Zhuying Technology Co., Ltd. Las 5 aplicaciones en la red de QuVideo tienen al menos 157 millones de descargas
  • La aplicación VivaVideo de QuVideo fue identificada como spyware por la comunidad de inteligencia india en 2017
  • Otra aplicación de la red de QuVideo, VidStatus, fue identificada por Microsoft por contener un troyano de acceso remoto conocido como Android/AndroRat
  • VidStatus solicita 9 permisos peligrosos, incluida la lectura del estado del teléfono, GPS, vídeo y audio, y más, mientras que la aplicación Tempo solicita innecesariamente 4 permisos diferentes de ubicación
  • 2 de las aplicaciones solicitan BACKGROUND LOCATION y ACCESS_LOCATION_EXTRA_COMMANDS, que pueden proporcionar a la aplicación aún más datos sobre la ubicación del usuario
  • Las aplicaciones solicitan de 2 a 9 permisos peligrosos, con un promedio de 5 permisos peligrosos

Aplicaciones de QuVideo: conocidas y desconocidas

En la Play Store, VivaVideo enumera a su desarrollador de aplicaciones como “QuVideo Inc. Best Video Editor & Video Maker App”. A nombre de este desarrollador, hay tres aplicaciones más en Google Play:

  1. VivaVideo
  2. VivaVideo PRO Video Editor HD
  3. SlidePlus – Photo Slideshow Maker

Aplicaciones Android de QuVideo Inc. (Google Play)

En conjunto, esas aplicaciones tienen más de 101,5 millones de descargas.

La versión iOS de VivaVideo enumera a su desarrollador de aplicaciones como QuVideo Inc. En la App Store, QuVideo Inc. tiene cuatro aplicaciones: dos de las señaladas anteriormente (VivaVideo y SlidePlus) y dos nuevas:

  1. Tempo – Music Video Maker
  2. VivaCut – Pro Video Editor

Aplicaciones iOS de QuVideo Inc. (App Store)

Además, en la versión en inglés de su sitio web (vivavideo.tv), QuVideo simplemente enumera el nombre de su compañía como “VivaVideo”. Sin embargo, en las versiones de su sitio en idioma chino (tanto quvideo.com o xiaoying.tv), pasa por Hangzhou Zhuying Technology Co., Ltd.

Hay dos cosas interesantes sobre Hangzhou Zhuying Technology Co., Ltd.

  1. Es la empresa matriz detrás de VidStatus – Status Videos & Status Downloader, una herramienta de estado de WhatsApp que es muy popular en la India, con más de 50 millones de descargas. La política de privacidad de VidStatus lo confirma.
  2. De acuerdo con este comunicado de prensa, figura como un “proveedor de soluciones de conducción automatizada de vehículos comerciales chinos”. Además, en algún momento en el pasado cambió su nombre a Fabu Technology Limited.

Con toda esta información combinada, podemos ver que en realidad hay seis aplicaciones dentro de la familia QuVideo, y no tres como dice enumerar QuVideo en Google Play:

  1. VivaVideo
  2. VivaVideo PRO Video Editor HD
  3. SlidePlus – Photo Slideshow Maker
  4. Tempo – Music Video Editor with Effects
  5. VivaCut – Pro Video Editor APP
  6. VidStatus – Status Videos & Status Downloader

Estas aplicaciones tienen más de 157 millones de descargas combinadas, pero es probable que el número sea mucho mayor. Mientras que la página de Google Play de VivaVideo muestra que tiene más de 100 millones de descargas, su página de Acerca de muestra que ya cuenta con 380 millones de usuarios en todo el mundo:

380 millones de usuarios para VivaVideo

También es importante afirmar que el número de descargas es probablemente más grande que 437 millones, ya que la tienda de aplicaciones de Apple no proporciona los números de descarga. Sin embargo, los datos de SensorTower muestran que QuVideo tuvo 3 millones de descargas en abril para todas sus aplicaciones iOS (más un ingreso de $2 millones sólo por ese mes):

SensorTower QuVideo iOS Abril

Sin embargo, hay otra aplicación que creemos que deberíamos mencionar.

QuVideo y ShareChat

ShareChat – Make Friends, WhatsApp Status & Videos es una aplicación de vídeo muy popular en la India y tiene una función similar a VidStatus de QuVideo. Desde mayo de 2020, ShareChat contaba con al menos 100 millones de descargas sólo en Google Play (y no parece tener una versión de iOS).

Al analizar las aplicaciones ShareChat y QuVideo, notamos tres similitudes sospechosas.

Primero, los archivos APK para varias aplicaciones de QuVideo tienen una clave API expuesta para la función de Navegación segura de Google. Se supone que las claves API son únicas para cada aplicación, aunque en algunas malas prácticas se usan en múltiples aplicaciones de un desarrollador de aplicaciones. Aquí hay un ejemplo de ello para VivaVideo:

VivaVideo Safe Browsing gads API clave

ShareChat tiene la misma clave API:

ShareChat Safe Browsing gads API clave

En segundo lugar, la página de inicio de VidStatus de QuVideo y la página de inicio de ShareChat son muy similares:

Comparación de la página de inicio de las web de VidStatus y ShareChat

Por último, tanto VidStatus como ShareChat tienen estructuras de URL similares para navegar a la página de su empresa y obtener más información sobre el producto:

Comparación de la estructura URL de VidStatus y ShareChat

Más allá de eso, tanto la sucursal india de QuVideo Inc. (con sede en la dirección que figura en el sitio de VidStatus) como Mohalla Tech tienen su sede en Bangalore, India. De hecho, están a sólo 15 minutos en auto el uno del otro:

Mapa de la distancia entre las oficinas de QuVideo y ShareChat

Sin embargo, no hemos podido confirmar la conexión entre los fabricantes de ShareChat – Mohalla Tech Private y QuVideo Inc/Hangzhou Zhuying Technology Co., Ltd.

Nos comunicamos con los equipos de Mohalla Tech Private y QuVideo Inc para comentar estas similitudes, pero aún no han respondido a nuestras solicitudes. Actualizaremos aquí si recibimos alguna respuesta de ellos.

Historial de malware y otros peligros

Dos aplicaciones de QuVideo tienen un historial de malware u otros peligros.

Primero, está la aplicación más popular, VivaVideo, que en 2017 fue identificada por el gobierno indio como spyware o malware. La información proviene de varias agencias de inteligencia de la India, como el Ala de Investigación y Análisis (RAW) y la Organización Nacional de Investigación Técnica (NTRO). Aconsejaron que todos los miembros militares eliminen esta y otras 41 aplicaciones de sus teléfonos de inmediato por temor al espionaje chino.

En segundo lugar, como parte de nuestro análisis de aplicaciones, ejecutamos los APK (archivos de aplicaciones) a través de un análisis de virus en VirusTotal, que es un servicio en línea que agrega muchos productos antivirus y motores de análisis en línea. Cuando verificamos VidStatus en VirusTotal, resultó positivo:

Troyano RAT de VidStatus identificado por Microsoft

El análisis de Microsoft identificó que la aplicación VidStatus tenía el troyano: Android/AndroRat. Según F-Secure, esta es una herramienta de acceso remoto que está “integrada en una aplicación de ‘operador’ (esencialmente troyano). Una vez que la aplicación se instala en un dispositivo, la RAT integrada permite que un atacante remoto controle el dispositivo afectado”.

Le pedimos al equipo de VidStatus comentarios específicos sobre este problema de RAT, pero aún no han respondido. Actualizaremos aquí si responden a nuestra solicitud de aclaración.

Los peligrosos permisos que piden

Echémosle un vistazo rápido a los permisos peligrosos que solicitan estas aplicaciones:

Permiso peligrosoNº. solicitadoDescripción del permiso
READ_EXTERNAL_STORAGE
5Esto permite que la aplicación lea los archivos guardados, incluidos los registros del sistema, los archivos de otras aplicaciones, etc.
WRITE_EXTERNAL_STORAGE
5Esto permite que las aplicaciones carguen archivos en el almacenamiento del dispositivo de los usuarios.
ACCESS_COARSE_LOCATION
3Este permiso deja que las aplicaciones recopilen la ubicación general de un usuario a través del Wi-Fi y/o datos móviles.
ACCESS_FINE_LOCATION
3Esto presenta un alto riesgo para la privacidad, ya que la mayoría de las aplicaciones no parecen necesitarlo en absoluto. Este permiso permite que las aplicaciones usen el GPS, datos móviles y/o Wi-Fi para obtener la ubicación precisa del usuario.
CAMERA
3Esto da permiso a las aplicaciones para acceder a la cámara del dispositivo.
READ_PHONE_STATE
2Este permiso deja que las aplicaciones recopilen información del teléfono del usuario: información de la red celular, cuentas de teléfono registradas conectadas y estado de las llamadas en curso.
RECORD_AUDIO
2Esto permite que cualquier aplicación grabe audio y almacene ese audio en el dispositivo o en los servidores de la aplicación.
ACCESS_BACKGROUND_LOCATION
1Esto permite que la aplicación tenga acceso constante a la ubicación, incluso si la aplicación no está en uso.
READ_CALL_LOG
1Esto permite que las aplicaciones lean el historial de llamadas del usuario.
READ_CONTACTS
1Esto permite que las aplicaciones revisen los contactos del teléfono.

Como puedes ver, las 5 aplicaciones que analizamos (no vimos la versión premium de VivaVideo) solicitaron la capacidad de escanear y editar archivos en la tarjeta SD externa. Esto significa que estas aplicaciones podrán ver cualquier archivo que hayas almacenado allí, así como cargar sus propios archivos o realizar otros cambios en los archivos guardados allí.

Más allá de eso, es interesante que, aunque todas las aplicaciones están relacionadas con el vídeo o la edición del mismo, sólo 3 de estas 5 aplicaciones solicitan permisos de cámara, mientras que sólo dos requieren acceso al audio.

Por último, estas aplicaciones solicitan innecesariamente acceso a las ubicaciones exactas de los usuarios. Aún más, una aplicación (el editor de música Tempo) quiere acceder a los datos de ubicación en segundo plano de los usuarios. El peligroso permiso de ubicación en segundo plano permite que una aplicación tenga acceso constante a la ubicación de un usuario, incluso cuando no está usando la aplicación.

Esta aplicación, Tempo, también solicita permiso para acceder a comandos de ubicación adicionales (android.permission.ACCESS_LOCATION_EXTRA_COMMANDS), lo que permite demandas adicionales de ubicación. Si bien son de naturaleza bastante técnica, según el blog de Permisos de Android, esto podría usarse maliciosamente para “interferir con el funcionamiento del GPS u otras fuentes de ubicación”.

Las tres aplicaciones más riesgosas de QuVideo

De todas estas aplicaciones, hay tres aplicaciones de QuVideo que son las más riesgosas en los tipos de permisos que solicitan.

Nombre de la aplicaciónNº. de permisos peligrososNombre del permiso de la aplicación
VidStatus – Status Videos & Status Downloader

 

Descargas en Google Play: 50 millones
Desarrollador: VidStatus Team
Historial de malware: Troyano:Android/AndroRat de acceso remoto identificado por Microsoft

9
  • Acceder a una ubicación aproximada
  • Acceder a la ubicación concreta
  • Cámara
  • Leer registros de llamada
  • Grabar audio
  • Leer contactos
  • Leer almacenamiento externo
  • Escribir almacenamiento externo
  • Leer estado del teléfono
VivaVideo: Video Editor & Video Maker

 

Descargas en Google Play: 100 millones
Desarrollador: QuVideo Inc. Best Video Editor & Video Maker App
Historial de malware: Identificado como spyware por agencias de inteligencia de la India

6
  • Acceder a una ubicación aproximada
  • Acceder a la ubicación concreta
  • Cámara
  • Grabar audio
  • Leer almacenamiento externo
  • Escribir almacenamiento externo
Tempo – Music Video Editor with Effects

 

Descargas en Google Play: 500.000
Desarrollador: Tempo trend video editor with effects & music. Ltd
Historial de malware: Ninguno

5
  • Acceder a una ubicación aproximada
  • Acceder a la ubicación concreta
  • Acceder a la ubicación en segundo plano
  • Leer almacenamiento externo
  • Escribir almacenamiento externo
  • Acceder a comandos adicionales de ubicación

Primero está VidStatus, que aquí solicita 9 permisos en total. Esto incluye la lectura y escritura en almacenamiento externo, así como la capacidad de leer a través de los contactos de los usuarios, sus registros de llamadas, acceder a su cámara, encender y apagar su micrófono, verificar el estado de su teléfono y obtener coordenadas GPS. Esta aplicación, por cierto, fue identificada por Microsoft por contener un troyano de acceso remoto.

La siguiente aplicación más riesgosa es la aplicación insignia de QuVideo, VivaVideo, que tiene al menos 380 millones de descargas. Si bien requiere menos permisos peligrosos, estos siguen siendo riesgosos, ya que algunos de estos, como los permisos de ubicación, son absolutamente innecesarios. Además, es importante recordar que la comunidad de inteligencia india identificó esta aplicación como spyware.

Por último, está Tempo, del que hablé anteriormente, que pide cuatro permisos en total, relacionados con la ubicación (tres de ellos etiquetados como peligrosos) además de las solicitudes de almacenamiento. Es importante también tener en cuenta que las políticas de Google Play restringen el uso en segundo plano “para las aplicaciones que lo necesitan para su funcionalidad principal” y un editor de vídeo no cumple con ese requisito.

Los riesgos innecesarios de los permisos peligrosos

Al mirar estas aplicaciones y los permisos peligrosos solicitados en general, es importante comprender los riesgos y lo que QuVideo podría estar haciendo.

Datos por dinero

La razón más obvia (y probable) de que cualquier desarrollador de aplicaciones para que una aplicación gratuita solicite tantos permisos peligrosos innecesarios es vender tu información a los corredores de datos (data brokers).

Uno de los tipos de datos más lucrativos son los datos de tu ubicación. El uso de permisos como los que pide Tempo (cuatro permisos diferentes de ubicación), pueden permitir que las aplicaciones envíen tus datos de ubicación hasta 14.000 veces por día, incluso cuando no estás usando sus aplicaciones. Estos datos pueden proporcionar a los desarrolladores de aplicaciones una buena suma de dinero, con algunos corredores de datos pagando $4/mes por cada 1000 usuarios activos.

Usando esa tasa, y estimando que el 5% de las descargas totales de QuVideo son usuarios activos mensuales (MAU, por sus siglas en inglés), eso equivale a casi $30.000/mes:

157 millones x 5% MAUs x $4/1000 MAUs = $31.400 por mes

Estos ingresos pueden ser adicionales a los $2 millones por mes estimados por SensorTower que QuVideo obtiene de sus aplicaciones iOS.

Otros usos ilegales

Sin embargo, siempre existe la posibilidad de que ocurran más cosas maliciosas en segundo plano. De las 5 aplicaciones confirmadas dentro de la red de QuVideo, dos tienen un historial conocido de malware: un spyware y otro un troyano de acceso remoto.

Teniendo en cuenta eso, vale la pena señalar que otros desarrolladores de aplicaciones poco éticos han usado permisos peligrosos, como lanzar ransomware contra sus propios usuarios o vender datos personales en el mercado negro.

Resultado final

En general, hay algunas consideraciones importantes que los usuarios deben tener en cuenta al mirar las aplicaciones dentro de la red de QuVideo:

  • Tienen un historial de spyware y troyanos de acceso remoto activo
  • Solicitan una gran cantidad de permisos peligrosos innecesarios
  • En su mayor parte, se encuentran en China, país poco respetuoso con la privacidad

Ya hemos discutido ampliamente los dos primeros puntos, así que permítanme aprovechar este momento para ver el tercero: China

Si bien la mayoría de estas aplicaciones de QuVideo son transparentes en su ubicación en China, descubrimos que VidStatus se enumera a sí mismo como basada en la India, mientras que VivaCut tiene una dirección de Hong Kong en sus respectivas páginas de Google Play. Si bien estos son ciertos hasta cierto punto, pueden no ser perfectamente transparentes en su conexión con China.

Las aplicaciones chinas no son inherentemente peligrosas o malas. Sin embargo, el gobierno chino ha demostrado, una y otra vez, que no le importa la privacidad del usuario. Esto incluye el Gran Cortafuegos, su nuevo sistema de crédito social y, por supuesto, sus estrictas leyes de retención de datos, que requieren no sólo que los servidores que transportan datos de los usuarios estén alojados en China, sino que esos servidores brinden acceso ilimitado a las autoridades chinas.

Por lo tanto, existe un alto riesgo de que las autoridades chinas puedan acceder a los datos de usuario procesados por empresas chinas. Y ese es un riesgo que debe tenerse en cuenta. Es por esta razón que el representante estadounidense Jim Banks de Indiana propone una legislación que obligaría a las tiendas de aplicaciones a poner una etiqueta de advertencia en las aplicaciones que provienen de países como China que presentan riesgos de seguridad para los estadounidenses.

Finalmente, hay formas de mitigar estos riesgos, como no otorgar los permisos peligrosos que solicitan estas aplicaciones. Sin embargo, algunos permisos normales, como la “ubicación en segundo plano”, no son otorgados por el usuario y, por lo tanto, no pueden ser revocados por el usuario.

Alternativamente, si los usuarios aún no se sienten cómodos con esto, siempre tienen la opción de eliminar las aplicaciones por completo.

Descargo de responsabilidad:
Investigamos meticulosamente nuestras historias y nos esforzamos por presentar una imagen precisa a nuestros lectores. También somos humanos, y si crees que hemos cometido un error de hechos (en lugar de estar en desacuerdo con una opinión), contáctanos para que podamos investigar y corregir o confirmar los hechos. Comunícate con nosotros a través de nuestra página Contáctanos.
Todavía no hay comentarios Sin comentarios
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share
Share
Thanks for your opinion!
Your comment will be checked for spam and approved as soon as possible.