Google ha confirmado que SuperVPN, con más de 100 millones de descargas, cuenta con una vulnerabilidad que permite un ataque crítico de intermediario (MITM attack). El martes 7 de abril, la aplicación fue finalmente eliminada de la Play Store de Google.

SuperVPN Free VPN Client es una aplicación VPN para Android increíblemente exitosa. Cuenta con más de 100 millones de descargas en la Play Store, y comenzó con sólo 10.000 descargas hace casi cuatro años.

Desafortunadamente, también es una aplicación VPN gratuita para Android increíblemente peligrosa. Nuestra investigación ha demostrado que tiene vulnerabilidades críticas que permiten ataques de intermediario, que pueden posibilitar que los hackers intercepten las comunicaciones entre el usuario y el proveedor, e incluso desvíen a los usuarios al servidor malicioso de un hacker en lugar del servidor real de la VPN.

Recientemente, Google nos confirmó que esta vulnerabilidad aún existe. Revelamos el hallazgo a través del Programa de Recompensas de Seguridad de Google Play (GPSRP) porque no hemos podido contactar al desarrollador de SuperVPN, SuperSoftTech. GPSRP permite a los analistas de seguridad revelar vulnerabilidades para aplicaciones con más de 100 millones de instalaciones.

El 19 de marzo, el equipo de Google nos confirmó que la vulnerabilidad aún estaba presente en la última versión de SuperVPN:

Mensaje validando la vulnerabilidad

Hemos trabajado con Google para contactar con SuperSoftTech y que ellos puedan abordar el problema y, con suerte, solucionarlo pronto. Desafortunadamente, esto resultó imposible, y el 7 de abril, Google eliminó la aplicación SuperVPN de la Google Play Store.

La app SuperVPN ha sido eliminada de la Play Store

Sin embargo, los usuarios con la aplicación de SuperVPN instalada todavía son susceptibles y deberían eliminar la aplicación de inmediato.

La vulnerabilidad crítica de SuperVPN afecta a 100 millones de usuarios

Cuando introduzcas la palabra clave “vpn” en la barra de búsqueda de la Play Store, verás a SuperVPN entre los 5 primeros resultados. Según Google Play, la aplicación ya ha sido descargada al menos 100 millones de veces. En enero de 2019, sólo tenía 50 millones de descargas.

Sólo por comparar, SuperVPN actualmente tiene aproximadamente el mismo número de descargas que Tinder y AliExpress. Si puedes imaginar a todas las personas que conoces que tienen Tinder, esa es aproximadamente la misma cantidad de personas que tienen instalada a SuperVPN en su teléfono.

El número de descargas de Tinder es de más de 100 millones

El número de descargas de SuperVPN es también de más de 100 millones

Cuando analizamos la aplicación, descubrimos que SuperVPN se conecta con varios hosts. En uno de estos hosts, descubrimos que se estaba enviando un paquete (un virus) desde la aplicación a través de una dirección HTTP insegura. Este paquete contenía datos cifrados y codificados, y la infraestructura de backend respondió con un paquete similar.

Después de investigar más a fondo, descubrimos que el paquete realmente contenía la clave necesaria para descifrar la información. Luego de descifrar y decodificar estos datos, descubrimos que contenían información confidencial del servidor, sus certificados y las credenciales que el servidor VPN necesita para la autenticación. Una vez que tuvimos esta información, reemplazamos los datos reales del servidor de SuperVPN con los datos de nuestro propio servidor.

Resumen del análisis de SuperVPN:

Al probar SuperVPN, descubrimos lo siguiente:

  • Las conexiones que utilizan HTTP simple no están prohibidas: el tráfico HTTP no está cifrado, por lo que cualquier persona husmeando por ahí podrá leer tus comunicaciones. El envío de datos confidenciales a través de una dirección HTTP es altamente inseguro, y esto debería estar prohibido por el desarrollador de la aplicación.
  • El paquete está ofuscado: esta es una buena noticia, ya que la información que se transfiere entre la aplicación del usuario y el backend está encriptada.
  • Claves de cifrado codificadas encontradas dentro de la aplicación: esta es la mala noticia. Aunque la información está cifrada, las claves para descifrar esa información se encuentran dentro de la aplicación.
  • El paquete incluye credenciales EAP: las VPN usan credenciales EAP para que los usuarios fuera de la aplicación no puedan conectarse al mismo servidor VPN. Sin embargo, al enviar credenciales EAP es un paquete sin cifrar, o uno fácil de cifrar, se anula el propósito de las credenciales EAP.

La confusa propiedad y ubicación de SuperVPN

En VPNpro, ya habíamos visto antes a SuperVPN y a su desarrollador SuperSoftTech en nuestra investigación sobre los propietarios ocultos de populares aplicaciones VPN. Descubrimos que el desarrollador real de la aplicación utiliza muchas técnicas en un aparente intento de ocultar quién posee y desarrolla esta aplicación.

Si bien SuperSoftTech afirma tener su sede en Singapur, en realidad pertenece al editor independiente de aplicaciones Jinrong Zheng, un ciudadano chino que probablemente tenga su sede en Beijing. Las versiones anteriores de la aplicación muestran a esta persona como desarrollador de la aplicación:

SuperVPN owner

Al buscar la dirección de correo electrónico que figura en la lista de SuperVPN en la Play Store, otra página muestra la ubicación de la aplicación de estar en el distrito de Haidian en Beijing.

Ubicación de SuperVPN

También encontrarás que la dirección de correo electrónico está conectada a Shenyang Yiyuansu Network Technology, que es el desarrollador de aplicaciones que figura en la versión de SuperVPN en la App Store de Apple.

¿Sigues confundido?

Pues aguanta, que se pone aún mejor: otra aplicación en Google Play, LinkVPN Free VPN Proxy, supuestamente es desarrollada por FuryWeb Tech, pero en realidad es otro de los productos de Zheng. Esta vez, sin embargo, FuryWeb Tech muestra su dirección como en Hong Kong.

Para empeorar las cosas, SuperVPN había sido nombrada antes en una investigación australiana de 2016 [pdf] como la tercera aplicación VPN con más malware.

SuperVPN malware

En ese momento, sólo tenía 10.000 descargas. Eso significa que, en los últimos cuatro años, se ha permitido que esta aplicación, seriamente vulnerable, permanezca en la Play Store y ponga en riesgo a otras 99.990.000 personas.

Trucos de blackhat SEO de SuperVPN

Entonces, ¿te preguntarás cómo una aplicación críticamente vulnerable de un desarrollador chino (posiblemente) siniestro puede obtener 100 millones de descargas en un lapso de 3 años? En nuestra investigación previa sobre cómo las VPN gratuitas pueden obtener una alta clasificación en la Play Store, encontramos la respuesta.

Pero probablemente a este punto ya nada te sorprenda. ¿La respuesta? Con alguna que otra práctica sospechosa. Específicamente, mediante el posible uso de técnicas de blackhat SEO (o más bien ASO – App Store Optimization) para aumentar su clasificación y obtener más y más descargas.

El manual para los trucos de blackhat SEO de SuperVPN en realidad es bastante simple:

  1. Utiliza una gran cantidad de comentarios falsos: las 10 mejores aplicaciones para la palabra clave “vpn” tienen menos palabras por comentario, más comentarios duplicados y más comentarios de usuarios ocultos. Por ejemplo, SuperVPN tuvo 10.000 comentarios con 1-4 palabras, mientras que los líderes del mercado como IPVanish tuvieron menos de 100 comentarios con 1-4 palabras.
  2. Genera backlinks de blackhat para aumentar su perfil de backlinks, independientemente de la relevancia del tema. Nuestro análisis mostró que 36 de 100 backlinks de muestra a la página de SuperVPN en Google Play provenían de páginas no relacionadas con VPN, tecnología, privacidad o seguridad.

Parece que estas técnicas simples de blackhat han ayudado a impulsar a SuperVPN a la cima del ránking de Google Play.

Resultado final

SuperVPN utiliza una amplia gama de técnicas sospechosas para obtener un alto puntaje en Google, así como para ocultar quién posee realmente la aplicación, dónde se encuentra y las demás aplicaciones del mismo desarrollador que pueden tener problemas similares.

Pero, por último, y más importante aún, parece que todo el tiempo que la aplicación ha estado en la Play Store, ha tenido vulnerabilidades críticas de una u otra forma, ya sea como medio para el malware en 2016 o permitiendo -a día de hoy- ataques de intermediario.

Lo único que no está claro es si estas vulnerabilidades se deben a un error o son intencionadas.

Sin embargo, hay millones de usuarios en este momento con una aplicación peligrosa en su teléfono. Si es uno de esos usuarios, te rogamos que elimines SuperVPN de inmediato.