Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Shuabang con nuevas técnicas en Google Play

41,420 views

Published on

Este documento detalla nuevas técnicas de Shuabang encontradas en diversas aplicaciones maliciosas en Google Play. Estas aplicaciones asocian cuentas falsas con el dispositivo real de la víctima, y les envía tareas cada diez minutos. Este informe es un ejemplo real del poder y efectividad de un producto como Path5 para investigar casos similares.

Published in: Technology
  • Be the first to comment

Shuabang con nuevas técnicas en Google Play

  1. 1. ELEVENPATHS, INNOVACIÓN RADICAL Y DISRUPTIVA EN SEGURIDAD ElevenPaths info@elevenpaths.com elevenpaths.com Publicado: Noviembre 2014 “SHUABANG” CON NUEVAS TÉCNICAS EN GOOGLE PLAY
  2. 2. 2 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY ÍNDICE 1 Resumen ejecutivo 3 2 Introducción 5 3 Esquema resumen de funcionamiento 9 4 Esquema de ataque 10 4.1 El panel de control del atacante 10 4.2 Las aplicaciones 11 4.3 La ejecución del fraude 14 5 Conclusiones 16 6 Apéndice I. Aplicaciones analizadas 17
  3. 3. 3 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY 1 Resumen ejecutivo ElevenPaths ha detectado varias apps maliciosas para Android alojadas en Google Play, destinadas en un principio posiblemente al Shuabang, o BlackASO (Black Hat App Store Optimization). En China es toda una industria y desarrollan su actividad desde hace años. El objetivo es crear infraestructura que permita valorar o inflar artificialmente las descargas de apps para posicionar mejor los programas en los mercados. Este "servicio" se suele vender a terceros. Estas apps maliciosas detectadas para realizar Shuabang tienen un potencial por encima de la media, puesto que demuestran un profundo conocimiento del funcionamiento concreto de los protocolos de autenticación con Google. El atacante ha distribuido decenas de apps maliciosas desde el mercado oficial de Google Play. Estas apps utilizan la información del teléfono de la víctima para asociarlo a cuentas falsas creadas por el atacante. Con esta información (una cuenta falsa asociada a un teléfono real de la víctima) el atacante dispone de un ejército de cuentas válidas y creíbles de cara a Google, con las que se puede permitir todo tipo de acciones en el store. Entre ellas, realizar valoraciones, descargas ficticias de forma automatizada, etc., y así desarrollar el servicio de BlackASO. Para realizar este fraude el atacante necesita de cuentas de Google activas, asociadas a dispositivos reales, y que no parezcan sospechosas para Google, pues de lo contrario las eliminará rápidamente. Para ello, utilizan diferentes técnicas, la más habitual es la de contratar a personas que valorarán o descargarán manualmente las apps que se le pidan. En esta ocasión han ideado también un sistema por el que, a partir de un conjunto de cuentas falsas, las distribuye y asocia a diferentes dispositivos, de forma que se reaprovecha al máximo el número de teléfonos distintos asociados a una cuenta. El atacante disponía de 12.500 cuentas de Google con usuario y contraseña, pero no registradas a ningún dispositivo. La inmensa mayoría de las cuentas en esa base de datos han sido creadas por el propio atacante. La aplicaciones convierten al dispositivo en un zombi, que cada 10 minutos recoge esas cuentas falsas del servidor central y las asocia a los datos del teléfono de la víctima. La cuenta de Google "original" en el dispositivo de la víctima permanece a salvo y el atacante no tiene acceso a ella en ningún momento. Cada cuenta es asociada a entre 10 y 30 teléfonos físicos de las víctimas. Las combinaciones entre cuentas de Google y asociación de teléfonos son innumerables. En la imagen más abajo se muestra un ejemplo de cuenta del atacante, asociada a 18 dispositivos de las víctimas. Desde principios de octubre hasta finales del mismo mes, el atacante ha subido a Google Play más de 300 aplicaciones disfrazadas de juegos, chistes, fondos de pantalla y entretenimiento en general. De ellas, aproximadamente 100, cometían el fraude asociando esas cuentas falsas a la configuración e identificador del dispositivo. Algunas de las 200 restantes, aunque inofensivas en una primera versión, eran más tarde actualizadas para cometer el fraude. El número de descargas de todas esas aplicaciones es de cientos de miles.
  4. 4. 4 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY Con este esquema de asociación de cuenta y dispositivo real, el atacante se ha podido hacer con una base de datos de 60.000 tokens. Los tokens son registros de usuarios falsos asociados a dispositivos reales y permiten simular a un usuario como si operase desde el dispositivo, sin necesidad ya de introducir usuario y contraseña. El ataque se ha centrado en víctimas de Brasil, India y Rusia, aunque está preparado para añadir cualquier país. Parece que su próximo objetivo eran víctimas de Estados Unidos. ElevenPaths ha podido determinar cómo, desde cuándo y con qué métodos se ha cometido el fraude, además de establecer enlaces entre el atacante y otros grupos de atacantes, además de recopilar evidencias incriminatorias. Basadas en estas correlaciones, ElevenPaths ha podido encontrar cuentas de desarrolladores de Google Play que posiblemente pertenecen al mismo grupo de atacantes. Todo esto ha sido posible gracias a Path5, un producto desarrollado por ElevenPaths que permite realizar una detección temprana, investigación y correlación de cualquier tipo de información relativa a aplicaciones de Android, entre otras funcionalidades. Este reporte supone un ejemplo real de la potencia y efectividad de un producto como Path5 para investigar casos similares.
  5. 5. 5 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY 2 Introducción Cuando un usuario crea una cuenta de Google, una vez ha introducido su usuario y contraseña, tiene acceso con ella a decenas de servicios en Google, como un Single Sign On. Si el usuario desea utilizar esa cuenta en su sistema Android, debe darla de alta, típicamente durante el proceso de activación del teléfono, o bien crearla desde el principio desde el propio dispositivo. El usuario introduce la contraseña de la cuenta una sola vez en el teléfono. A partir de ahí, se da de alta en un servicio de Google (enviándole usuario, contraseña, ID de dispositivo...), que le devolverá un token. Este token maestro se almacena en el manejador de cuentas del dispositivo (que queda asociado) y será el que se utilice el resto de tiempo para que no se tenga que introducir la contraseña de nuevo. De él, se deducirán otros tokens temporales. Habitualmente, un usuario puede tener varios dispositivos registrados en una misma cuenta. De esta forma puede elegir dónde instalar apps, por ejemplo. En esta imagen, se observa una cuenta que dispone de varios dispositivos asociados. Se trata de una cuenta del atacante, pero los teléfonos pertenecen a las víctimas.
  6. 6. 6 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY Un usuario con una cuenta de Google pueda presentarse así en un navegador e instalar aplicaciones desde ahí en su dispositivo, como si las enviara remotamente.
  7. 7. 7 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY Como se ha mencionado, para asociar un dispositivo a una cuenta, el proceso habitual es:  Bien crear la cuenta desde el mismo dispositivo. Con el fin de que no se creen cuentas fraudulentas de forma automática, Google descarta las cuentas creadas sobre dispositivos que no sean "reales", además de interponer un CAPTCHA.  O bien utilizar una cuenta de Google ya existente y presentarse en el mismo dispositivo con el que se quiere asociar. Para este proceso, tan solo es necesario introducir el usuario y contraseña existente en el teléfono o añadir una nueva cuenta.
  8. 8. 8 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY Con esto, realmente, lo que se hará es asociar un identificador del dispositivo a la cuenta. El teléfono o dispositivo Android aparecerá como dispositivo asociado a la cuenta en el panel de configuración de Google Play. Este protocolo de registro y asociación a bajo nivel ha sido estudiado por la comunidad y en especial por los atacantes que realizan prácticas fraudulentas. Actualmente es posible conseguir el registro y la asociación programáticamente, realizando las llamadas a los servidores de Google y proporcionándole la información necesaria. El proceso no está documentado oficialmente. Esta especie de botnet es un sofisticado sistema por el que un atacante es capaz de, a través del malware con mínimos privilegios, asociar a dispositivos reales cuentas creadas por el propio atacante. Dispone así de un conjunto de cuentas falsas asociadas a teléfonos "reales" y por tanto, válidas de cara a los servicios de Google, lo que les permitirá cometer diferentes tipos de fraude. En concreto la descarga artificial o valoración de apps fraudulenta.
  9. 9. 9 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY 3 Esquema resumen de funcionamiento El esquema genérico de funcionamiento de las apps analizadas es el siguiente: La base de datos de los atacantes mantenía una regla en el cortafuegos que permitía paso privilegiado a una compañía de publicidad China, que tenía su propio usuario en la base de datos.
  10. 10. 10 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY 4 Esquema de ataque El esquema de ataque se divide fundamentalmente en tres pasos. 1. Asociación de cuentas a teléfonos. 2. Robo de datos, asociación y envío al servidor. 3. Uso de cuentas para ejecutar el fraude. Para ello, el atacante dispone de un panel de control, aplicaciones, y diferentes herramientas para llevar a cabo el fraude. 4.1 El panel de control del atacante El atacante dispone de un panel desde donde controla toda la operación. Este panel está compuesto por dos vistas principales. Una de ellas, es un repositorio de usuarios y contraseñas válidos de cuentas de Google con un ANDROID_ID asociado y clasificadas por países. La mayoría de estas cuentas habían sido creadas (probablemente por el propio atacante o un equipo) desde el 17 de octubre en adelante. No disponían de historial de actividad, ni dispositivo asociado. A tenor de los datos de las cuentas y la complejidad de las contraseñas, podría especularse con que han sido creadas de forma automatizada. En estos casos, el usuario, nombre, apellido y contraseña son creados automáticamente y solo es necesario romper un CAPTCHA para crear cuentas. El identificador de teléfono en esta base de datos, es aleatorio en un principio y luego será actualizado por la app maliciosa con el ANDROID_ID real del teléfono de la víctima. Así que, como punto de partida, el atacante dispone de un pool de 12.567 cuentas sin actividad, de las que conoce el usuario y contraseña. La contraseña, aunque en el panel no se muestre, está en claro en la base de datos. Además, el atacante puede añadir usuarios y contraseñas nuevos, a partir de un script en el servidor que alimenta esta base de datos. También dispone de una base de datos en la que almacena datos relativos al proceso de asociación de cuentas a dispositivos. Cuando se vinculan dispositivos a cuentas, Google devuelve una serie de valores (incluido el token maestro). Esta base de datos contiene los identificadores de dispositivo, tokens, etc. La app maliciosa, como último paso, almacena esta información en el servidor del atacante. Pero esta base de
  11. 11. 11 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY datos también sirve como fuente para actualizar datos, reaprovechar tokens, comprobar si siguen siendo válidos y aprovechar así al máximo su utilización. La base de datos de tokens asociados a dispositivos no es visible en el panel, pero su contenido (codificado en base64) es este: Otra vista importante en el panel es una pantalla de administración muy básica. En este panel se puede configurar qué apps descargará la cuenta falsa, y otros parámetros. También permite limitar por país, número de descargas, llevar un contador de las descargas realizadas, etc. Se han encontrado dos paneles hasta el momento ubicados en dos direcciones diferentes. Entre los dos paneles, se pueden encontrar más de 12.500 cuentas de Google creadas por el atacante. En resumen, se trata de una infraestructura básica de gestión del fraude. 4.2 Las aplicaciones Además de preparar el panel con la información, el atacante necesita infectar a las víctimas para que se comuniquen con él y realizar la asociación de cuentas y dispositivos. Para conseguirlo, desde principios de octubre de 2014 ha subido unas 300 apps a Google Play. De ellas, más de 100 contienen el código para infectar. Las apps solo necesitan estos permisos para manejar las cuentas y realizar la asociación:
  12. 12. 12 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY Fundamentalmente, se esconden bajo supuestas apps de fondos de escritorio, bromas... Contienen la parte lúdica que prometen, además del código malicioso. Una vez el usuario se descarga la app, ocurren dos eventos totalmente diferentes. El primero, es que la aplicación indica que necesita ser actualizada, e invita a la descarga de otra app desde Google Play. Esta app que se invita a bajar es dinámica, y se basa en un sistema de rotación que dirige el atacante desde otro servidor. Este comportamiento no tiene relación con la actividad principal relacionada con el registro de cuentas. El mensaje se envía en el idioma del teléfono. Mientras esta actividad ocurre, el segundo evento relevante para el fraude se consolida en segundo plano. Fundamentalmente, a alto nivel, lo que consigue el atacante paso a paso es lo siguiente.  El servidor del atacante proporcionará a la víctima un token de una cuenta ya asociada. Este token se utiliza este para descargar, valorar apps, etc. como si fuese un usuario legítimo.
  13. 13. 13 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY  En el caso de que el token ya no sea válido, le proporciona un usuario y contraseña de una cuenta de Google, no asociadas a ningún dispositivo.  El atacante intenta asociar el dispositivo de la víctima a la cuenta, tal y como ocurriría si introduce en el dispositivo esa nueva cuenta. El dispositivo de la víctima queda así asociado al usuario que le ha proporcionado el atacante. El efecto es como si el atacante hubiera registrado su cuenta oficialmente en el dispositivo. Cuando consigue el registro, Google devuelve un token de la cuenta asociada, que al atacante sube al servidor para realimentar el proceso.  La aplicación se mantiene esperando tareas y órdenes del servidor, que consulta cada 10 minutos. Es como si el atacante quedara registrado en el teléfono con otra cuenta, a la que tiene acceso puesto que conoce su usuario y contraseña originales.  El atacante intenta, desde el teléfono y con su cuenta registrada, descargar el primer megabyte de una app que él mismo ha subido a Google Play, sin descripción, título... Se trata de una app "dummy" (en la imagen más abajo). Suponemos que el fin último es una "activación total" de la cuenta (según la ayuda oficial de Google en https://support.google.com/googleplay/answer/1141080): "Para poder hacer una compra en Google Play desde el ordenador, debes enlazar tu cuenta de Google con tu dispositivo Android. Para realizar esta operación, debes iniciar sesión en la aplicación Google Play Store en el dispositivo Android y descargar una aplicación."
  14. 14. 14 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY  Las tareas que asigna el atacante consisten en que el servidor le propone una aplicación que intenta descargar, normalmente de Google Play. Con esto intenta que aumente artificialmente el contador de descargas de la app y así falsear las estadísticas en Google Play.  Si no puede seguir realizando tareas (bajando apps) por cualquier razón (normalmente porque el token ya no sea válido o haya caducado) vuelve a solicitar los datos necesarios para realizar una nueva asociación con el teléfono y nuevas cuentas que le proporciona desde la base de datos. Todo el proceso está orquestado por un sistema de tareas inteligente, que contabiliza, restringe y reparte durante periodos de tiempo los procesos, apps y tareas. Esto permite que un dispositivo o cuenta sea perfectamente repartido y asociado de forma que no levante sospechas. Aunque las técnicas de shuabang sean conocidas, este resumen de comportamiento esconde un inteligente paso para obtener cuentas asociadas a teléfonos reales, y por tanto, totalmente operativas para Google Play. Con este método, el atacante simula que los usuarios víctimas, estuvieran usando cuentas de Google válidas y asociándolas a sus teléfonos. Con ellas, el atacante puede solicitar descargas que finalmente no se llevan a cabo, o valorar apps. Desde el punto de vista de Google Play, las acciones serían reales, creíbles y realizadas desde teléfonos dispersos por todo el mundo. Durante este proceso, la cuenta real del usuario del teléfono no tiene interés ni uso para el atacante. El valor, en este caso de la víctima, es:  Asociar una cuenta a los valores de un teléfono "normal", con marca, dispositivo, identificador...  Realizar el registro y asociación de cuentas de forma repartida y ordenada, desde diferentes direcciones IP, países, momentos, etc. 4.3 La ejecución del fraude El atacante comprueba en su base de datos si la IP de la petición de tareas desde el teléfono víctima pertenece a Brasil, India o Rusia. Si no, el servidor no responderá. Sin embargo, el ataque podría ser operativo desde cualquier parte del mundo y contra cualquier país.
  15. 15. 15 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY Una vez que el atacante dispone de una buena base de datos de cuentas con su token asociadas a dispositivos, esto le permite actuar como usuarios legítimos que hacen clic sobre anuncios, descargan aplicaciones, etc. El potencial es muy alto. Ha conseguido multiplicar y optimizar el número de descargas de apps que se pueden realizar desde un dispositivo, asociando múltiples cuentas a múltiples dispositivos. Este fraude permite desde el blanqueo de dinero (comprando productos o servicios generados por el propio atacante), hasta el alquiler de botnets para el posicionamiento de apps, clasificación, etc. Mientras realizábamos esta investigación, el atacante modificaba la base de datos para perpetrar una de las posibilidades de fraude. En ella han introducido numerosas aplicaciones, identificadores de publicidad y de nuevo un sistema de gestión de tareas. Aunque las técnicas sean conocidas, las apps y el panel de control parecían muy experimentales. Quizás, sospechamos que el escenario que pretendía este atacante en concreto era más ambicioso. Una vez conseguido el registro de una cuenta que el atacante controla, con el teléfono de la víctima, en teoría, el atacante podría presentarse a través de un navegador o cualquier sistema automático y obligar a la descarga de una app en el teléfono de la víctima. Sin embargo, no hemos podido reproducir este comportamiento en el laboratorio, e intuimos que el atacante tampoco ha podido finalizarlo con éxito. Si realiza una descarga e instalación, la descarga contará, pero no se hará efectiva en la víctima. De haberlo conseguido, el atacante hubiera podido instalar cualquier app de Google Play con cualquier permiso (porque serían aprobados en el navegador) y la víctima no tendría por qué ver ni aprobar nada en su dispositivo. Pero no se permite la instalación sin que la cuenta esté realmente activa y sincronizada en todo momento en el teléfono, con el token válido, aunque las apps reproducen todos los pasos necesarios según la ayuda de Google: "Para poder hacer una compra (aunque sea gratuita) en Google Play desde el ordenador, debes enlazar tu cuenta de Google con tu dispositivo Android. Para realizar esta operación, debes iniciar sesión en la aplicación Google Play Store en el dispositivo Android y descargar una aplicación."
  16. 16. 16 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY 5 Conclusiones El atacante, aunque con un fin último conocido (posicionamiento fraudulento) ha conseguido varios hitos interesantes con el desarrollo de estas apps maliciosas:  Ha creado o comprado 12.567 cuentas de Google de forma automática en su mayoría. La creación de cuentas requiere romper un CAPTCHA.  Ha conseguido comprender a bajo nivel, cómo funciona el sistema de registro y asociación de dispositivos a cuentas, y lo ha programado para que se realice automáticamente. Esto no está documentado oficialmente y existen muy poca documentación en Internet al respecto.  Ha conseguido introducir alrededor de 100 apps maliciosas en Google Play, con permisos aparentemente inocuos.  Ha conseguido gestionar un sistema de tareas que optimiza al máximo la actividad de los infectados, repartiendo tareas de descarga, asociación de cuentas, etc.  Ha conseguido que las características de teléfonos de las víctimas sirvan para que sean asociadas a cuentas, y así poder gestionar el fraude por clic de forma inteligente, como si un usuario falso se encontrara registrado en el teléfono de la víctima.  Intuimos, como conjetura, que la intención era ir más allá y permitir la instalación remota en los teléfonos asociados.  Aunque los datos relativos a la cuenta de la víctima queden a salvo, estas apps maliciosas suponen un aprovechamiento de los recursos y una vulneración de la privacidad. Aunque es una técnica conocida y desarrollada desde hace tiempo a través de varias apps, los atacantes tienen como objetivo Google Play, como lugar de distribución privilegiado, pero con el que más problemas se encuentran a la hora de publicar. Una vez conseguido y gracias a lo inteligente de la técnica, el éxito es notable. Las apps parecían en desarrollo, y da la sensación de que ha experimentado con estas técnicas.
  17. 17. 17 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY 6 Apéndice I. Aplicaciones analizadas com.drawmanagesacrifice.eletricscreen,df2d764ff55281d3ae856799f051b489923911b0 com.associationinterruptcrush.eletricscreen,7f74a790588c85187e6a7b2e9e4b0ff202e469c1 com.chainheaddistance.eletricscreen,f39c578489eb007696ed4cc04756167f306954a5 com.buttondetailsuffer.eletricscreen,1f07d84595f110220948038a5af4f2a164e22014 com.busysquareprejudice.eletricscreen,9409bd9d91b69e515c2ea26013650088d56132d3 com.curlfastenlive.trustconfess.matter,d1d63f07b2e5e1f6f0fe50f08ee3dfa40a816536 com.trickpronouncefind.expensedream.tobacco,89755f13b851482872b29d64c53677156aac77de com.prizeconfidencecomposition.confusescatter.ill,984d0797ec75bd3e868e1e5a25ab012e3dc8a8de com.smellattractionreply.feedbusiness.speech,6813f7feefe28f4d91b20649f4f4b6dc6072c7b8 com.decisiondaughterquarrel.clubeasy.bundle,169b4a7aeb5245d136ebaf99e96ac43dcda172ed com.fortunateawkwardaround.swingglass.gold,555a1bd9abe0c18d0b6d4945730c22f63eaa1c3b com.correctloudthus.hallpool.shut,d2faf306cb7ae5e12c530049633963644e3513d0 com.curiouswhilewalk.eletricscreen,c00899289795a94a1a9cce96f5adec90731d52a1 com.dollarrabbitsteer.firescreen,d708eb1fdd831c519b87139616c9e3960e75a1f0 com.rollinterferenceforeign.industryrecognition.strange,f60da11b2dfb31d757796a40abf52e9d87d29dfe com.preferencestiffmodern.tapfield.permission,529c2436a0c68cc86c859ba03892e546dbedcfd8 com.statequartersteel.tunethan.tonight,2614cef8502e8898bf37ad4b64e342d770d2c860 com.preferencestiffmodern.tapfield.permission,fb22dfc61b633d302268c06281a6c523eadf1f58 com.centerincludeblade.eletricscreen,39be5d4e81956b6419899dea35d39e22a7dc656d com.charmscreenproblem.eletricscreen,730186c1d808f121f07ca0416a04783565e79e67 com.connectgatherspeech.eletricscreen,0e458b8fecd238bffd40e4565c595cd2add729ae com.blockverbfemale.journeyonly.during,287c2fe136255e480a36217e85cca3ba842d260e com.faintacrosshole.provideair.actual,7d2fd45f3641bb2d8b4bbde047474abd294b3460 com.red.taskapk,b5e3bfc6d7a97baf18edbe13a10bd3b1162bd1ce com.hurtgoldstorm.separationshirt.north,e4e04124bd6687a8174c21f0b87ea80484de9f68 com.cloudmaybepassenger.eatdirector.sink,13311cf1554370f1f5101f1e4f5283947f63e056 com.eveningworshippity.refernail.prejudice,4bc43d5c5cceae6ccdd768059268dfaaf1f331d1 com.acceptbreatheessence.tonightbridge.wisdom,c37a8ee27ab60a30af46b563f70b3c8c9bc89792 com.clockeffectivewander.damagemind.profit,b19dc2284216a4e0ea528b8ba0606640ad659601 com.cottagehotelremark.furtherverse.effective,c1bcf5265710ed776d951a5ab95f81e36183fc03 com.discussiondistancebook.crackscreen,9e0ad212d35fd722f144d252a679766367764048 com.theessenceattract.countrycall.police,bf3fb908cee958468c5416d0416ef7a207d5a5cd com.pinkmankindknife.politicalpen.rabbit,c2775bfa6a99112ef849e7dd1600117c62314afb com.charmscreenproblem.eletricscreen,ae10890b0c4108f13ca063440db0c3ea90f497ef com.pagetraypower.landknowledge.patience,bbf9c263c680e047d21b2b614bbb866a49612793 com.consciousmarrycustom.stationprint.damage,1fd1287ab8e1992c5cb73f2624d88e18feea51f4 com.timestrengthidle.boxpaste.land,cdfe2f9c640297098533e51e6b265dc60455c1ae com.engineerrailroadcreep.wishdeserve.lessen,5911d4fc512ca8c245aa6aee9100a200ea46eb4e com.nicedevilposition.beardsugar.dry,14d9cb259c4e89132e60e39eb4cf2d52b5cdccba com.sweetknifeverb.leadershipbalance.quiet,bba636226cdfad7f5060852b95216c0e32ee14d1 com.mayreceivewelcome.spotconfess.inquire,609cb5b5936b62ca41943e5fa6956292874bcd0e com.femaleappearaddress.attractivequality.moral,011665ec4cfc5d32b48e13787e901eb8a84ec935 com.attemptbutbehind.extremelack.among,b78f2d27833f723d1e901a9391d973561916bafa com.sonbottomsecretary.purposevoyage.introduction,3e5ba2533c53246f12924b10ec0ffed9ade4a32d
  18. 18. 18 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY com.abroadvictorycorn.eletricscreen,9151621714f1499a4b6124b033ab938019b20a95 com.abroadvictorycorn.eletricscreen,e86444d56ce7ad22234f54455225447e6d5d2b1a com.curelengtharise.eletricscreen,85169820e100641487cd7c5ebedad7dd405fd7d6 com.discoveruntilchest.archsuspicious.eastern,390f5a85d08ac231984c57c50f6e2c9f8028776e com.jawdespairbackward.advancecreep.island,c31d7f5d3b8faa13a1dea0dd97c886c3ece1229c com.mapwisdomcheck.morningsecond.have,fb1be2c98157303841fc77b587c4e0697437763b com.ageconfidencedelivery.machineryrather.basis,8d0dc5f60d231eed4c3c25d2a77cbba17b3d0423 com.develoployaltyfinish.flowhit.fun,09b372410790d79a06e6f477b0ea56a7112808a3 com.theessenceattract.countrycall.police,8831c23520785af930362b23e44b7fda38c7f656 com.attackartificiallamp.eletricscreen,6806b26721d62774e3ce35bb2623a76a56b9f3e7 com.burstearannoy.ele,02f9bbf021b24f3c8e2f7bc583931753bf114113 com.centerincludeblade.eletricscreen,de3e612e1da3b5a3dbd8d12df8b81d40576cc6f7 com.charmoceanwarmth.eletricscreen,dd5196019d5faf4d3d399ee60cfa69bbff0e28c0 com.forestuniversalfinish.mountainoutline.right,1d39fb974d80e6adc2fc0c00d8699d164d396635 com.lessonsuchbrown.elephantcharm.help,8d1eed7bfaf37a1c8d60532bbb3c73b3e97a9083 com.secretfacedrink.factquick.reference,34bbb8f3b5cfb67463de4d5e7677e3e50c2f607a com.necessaryexpensiveknowledge.barrelleadership.steam,34271a6e1627b317e6dbd8e98f61cb4a8c0daf92 com.doubtswallowchicken.nightvision,954d5dff6ce371a89886b6edc9e425ca1fd578a1 com.downmonthtend.xray,2b497258d81c4385239387023f6fcc7aaf3531b5 com.godbendhuman.xrayscaner,c19492d8fa29d25f6ac56d1c622afd454669cf78 com.curvesentencecake.eletricscreen,604420aa00aa40fab45abc8bb9db27edce4bf71b com.backaroundhumble.ablenative.state,0adc722b46dec4b719613c9e28d7c51ece72ffdf com.believegratefulcollection.xray,9e7f0bb3ad88a5580b83b4359209c4869e19216c com.busymarchprevent.eletricscreen,564a7028ef4c76800c8a6130bc58060ed241a20e com.businessprisonice.eletricscreen,eb9bd8ff5f4e0235bc07530e80968aa4abb5de70 com.charmoceanwarmth.eletricscreen,22a0446ab4ab528c7a1693e4ea5706d3086b5330 com.supposecomedoubt.considerwidth.farm,7f327903bf28bc648daf610ab3842eabc656ea41 com.soldierexceptionbus.autumneverything.except,f938976a30cf809d825d9583d1dabad1c7e7545d com.destructiondealafraid.poetmud.grass,2d22b0d6e223154bc8a24fb73e7bc7df2976b855 com.needdisciplinesharp.tideland.may,e68f50cef1a9f0c8e398c8bfe1bbea55518e39bc com.pridesugaronce.slaverynetwork.whistle,34a6bbb02a580ff1b78160233de368e28cded7c0 com.dishflowstore.suspicionvessel.avoid,ed2421cea491e17078d1ee5a10537eeb99084470 com.pleasantdelayfair.healnorthern.altogether,7ea4129d73bc38d8609d025185cace3631e81c9f com.heatbreathecommand.cowlean.dream,db5730a4ba36b9023ea90f4797bebe3cb3806efc com.snowcontainpublic.ribbonapart.hill,0bdcb6dff5f18d6d14e2f1ce40cfab5bb7e71190 com.liveencourageenvy.chesthowever.rain,513ca7bb8d18cf2a278a1cad3a89337ce992bf7f com.canhousetremble.eletricscreen,e4c7f49a0604c40e37293642d796e3a0eebf501d com.chainheaddistance.eletricscreen,bce74659ea0ab5df83e74fd845214089414d2103 com.visitsouthmedicine.dreamwalk.solemn,0fddbe77177c7861a6309b1e68d16b8b43c1277c com.fastendependentadvance.hairsake.towel,e1de72bf9bf42f501cf2f87dc722ccb48f8fdbd5 com.belieftreasureliberty.darkseveral.only,f3bffdea50faa14227a71ae61348d4e09f4bfee0 com.secondwarmsorry.parentgray.difference,1d5d8941049236e036711ac27ffba94899283217 com.learnprettyactive.confidenceexcess.certainty,bc4abe0068e4d096bce60d0607b9c0583de505f2
  19. 19. 19 "SHUABANG" CON NUEVAS TÉCNICAS EN GOOGLE PLAY 2014 © Telefónica Digital Identity & Privacy, S.L.U. Todos los derechos reservados. La información contenida en el presente documento es propiedad de Telefónica Digital Identity & Privacy, S.L.U. (“TDI&P”) y/o de cualquier otra entidad dentro del Grupo Telefónica o sus licenciantes. TDI&P y/o cualquier compañía del Grupo Telefónica o los licenciantes de TDI&P se reservan todos los derechos de propiedad industrial e intelectual (incluida cualquier patente o copyright) que se deriven o recaigan sobre este documento, incluidos los derechos de diseño, producción, reproducción, uso y venta del mismo, salvo en el supuesto de que dichos derechos sean expresamente conferidos a terceros por escrito. La información contenida en el presente documento podrá ser objeto de modificación en cualquier momento sin necesidad de previo aviso. La información contenida en el presente documento no podrá ser ni parcial ni totalmente copiada, distribuida, adaptada o reproducida en ningún soporte sin que medie el previo consentimiento por escrito por parte de TDI&P. El presente documento tiene como único objetivo servir de soporte a su lector en el uso del producto o servicio descrito en el mismo. El lector se compromete y queda obligado a usar la información contenida en el mismo para su propio uso y no para ningún otro. TDI&P no será responsable de ninguna pérdida o daño que se derive del uso de la información contenida en el presente documento o de cualquier error u omisión del documento o por el uso incorrecto del servicio o producto. El uso del producto o servicio descrito en el presente documento se regulará de acuerdo con lo establecido en los términos y condiciones aceptados por el usuario del mismo para su uso. TDI&P y sus marcas (así como cualquier marca perteneciente al Grupo Telefónica) son marcas registradas. TDI&P y sus filiales se reservan todo los derechos sobre las mismas. AUTORES: ElevenPaths En ElevenPaths pensamos de forma diferente cuando hablamos de seguridad. Liderados por Chema Alonso, somos un equipo de expertos con inquietud para replantearnos la industria y gran experiencia y conocimiento en el sector de la seguridad. Dedicamos toda nuestra experiencia y esfuerzos en crear productos innovadores para que la vida digital sea más segura para todos. La evolución de las amenazas de seguridad en la tecnología es cada vez más rápida y constante. Por eso, desde junio de 2013, nos hemos constituido como una start-up dentro de Telefónica para trabajar de forma ágil y dinámica, ser capaces de transformar el concepto de seguridad anticipándonos a los futuros problemas que afecten a nuestra identidad, privacidad y disponibilidad online. Con sede en España, estamos presentes también en UK, EE.UU, Brasil, Argentina, y Colombia. CONTACT US elevenpaths.com Blog.elevenpaths.com @ElevenPaths Facebook.com/ElevenPaths Vimeo.com/ElevenPaths

×