Terracotta: el fraude de la publicidad que ves pero no ves

Campañas de fraude como la protagonizada por Terracotta no suelen tener la relevancia pública que sí que alcanzan otras acciones relacionadas con el phishing, el ransomware, etcétera. Sin embargo, resulta bastante interesante conocerlas, saber cómo funcionan, qué efectos tienen y, no menos importante, si es posible que sin saberlo estemos formando parte de una acción de ese tipo en la que, eso sí, nosotros no seremos la víctima, sino parte del arsenal del atacante. Hablo, obviamente, de los múltiples modelos de botnets y de cómo son explotadas por los ciberdelincuentes.

Por norma general, cuando hablamos de botnets, lo primero que nos viene a la cabeza son los ataques DDoS, en los que decenas de miles de sistemas ejecutan un ataque coordinado contra una infraestructura determinada. Y es normal, puesto que se trata de uno de los usos más comunes, pero no el único. También pueden ser utilizadas para la distribución de malware, para la gestión de infraestructuras no centralizadas, como sistemas para hacer anónimo el acceso a Internet de los delincuentes o, como en el caso de Terracotta, para estafar unos cuantos miles de euros a cuenta de la publicidad en Internet.

En una investigación llevada a cabo por los técnicos de la firma de seguridad White Ops, se han detectado varias aplicaciones de Android en Google Play, ya eliminadas por la compañía, que instalaron en los dispositivos móviles de los usuarios el malware de fraude publicitario  que han denominado Terracotta. Apps que instalaban un navegador oculto para cargar páginas que contenían anuncios y cometer fraude publicitario.

La investigación, iniciada en 2019, y de la que Google ya ha sido informada, encontró un conjunto de apps que engañaban a los usuarios, haciéndoles creer que solo por tenerla instalada obtendrían algunos bienes de manera totalmente gratuita. El único requisito para ello era instalar el software en sus dispositivos y esperar unas semanas, a cambio, en teoría, obtendrían cupones de descuento, entradas a conciertos, calzado, etcétera). Las recompensas, obviamente, nunca llegaban pero, a ojos de los usuarios, la app operada por Terracotta tampoco hacía nada en sus dispositivos (ni siquiera tenían que abrirla), así que tampoco suponía un problema.

Solo que, en realidad, la aplicación sí que estaba activa. Su función era abrir un navegador en modo oculto (es decir, que estaba abierto pero el usuario no lo veía) y emplear el mismo para cargar páginas web con elementos publicitarios. El fraude consiste en que esas impresiones de publicidad pasan por ser reales para los anunciantes y, por lo tanto, son pagadas como si el usuario final realmente hubiera llegado a ver los ads. Con miles de dispositivos con el malware de Terracotta, el volumen de impresiones ficticias es, claro, tremendamente alto.

“Debido a nuestra colaboración con White Ops que investiga la operación de fraude publicitario de Terracotta, sus hallazgos críticos nos ayudaron a conectar el caso con un conjunto de aplicaciones móviles previamente encontradas y a identificar otras aplicaciones malintencionadas. Esto nos permitió actuar rápidamente para proteger a los usuarios, los anunciantes y el ecosistema en general; cuando determinamos infracciones de políticas, tomamos medidas”, dijo un portavoz de Google.

Si lo deseas, puedes consultar la lista de apps de Terracotta haciendo click aquí.

La entrada Terracotta: el fraude de la publicidad que ves pero no ves es original de MuySeguridad. Seguridad informática.