Las listas de reproducción y los podcasts de Spotify se están utilizando indebidamente para difundir software pirateado, códigos de trucos de juegos, enlaces de spam y sitios “warez”.
Al inyectar palabras clave específicas y enlaces en nombres de listas de reproducción y descripciones de podcasts, los malos actores pueden beneficiarse de un mejor SEO para sus propiedades en línea cuestionables, ya que los resultados del reproductor web Spotify aparecen en motores de búsqueda como Google.
Listas de reproducción de Spotify empujando warez
Cuando abusan de las plataformas, los spammers y los estafadores hacen todo lo posible para promover su agenda.
Más recientemente, una lista de reproducción de Spotify titulada “Sony Vegas Pro 13 Crack…” pareció dirigir tráfico a uno o más sitios de software “gratuitos” enumerados en el título y la descripción de la lista de reproducción.
Los términos “warez” o “crack” se utilizan con frecuencia en la cultura informática para referirse al software pirateado que circula en Internet, a menudo en sitios no confiables.
No hay garantía de que intentar descargar productos de software falsificados de dichos sitios web, o “torrents”, sea seguro, ya que podrían ser malware o llevar a los usuarios a sitios falsos, que son estafas.
Los usuarios que descargan este tipo de “warez” pueden, en ocasiones, recibir el software anunciado en sitios web sospechosos sin pagar ninguna tarifa, pero, sin saberlo, pueden terminar con virus, adware u otros programas no deseados ocultos en la versión “craqueada” del software.
Beneficio añadido: SEO para sitios de spam
Hemos observado que la contaminación por spam de plataformas confiables y muy populares como Spotify, por parte de actores maliciosos, tiene el efecto secundario de mejorar la clasificación en los motores de búsqueda de sus sitios web dudosos.
Aquellos que busquen palabras clave como “descarga gratuita” combinada con “Sony Vegas Pro 13” u otros productos de software pueden ver los siguientes resultados de Google:
(La computadora emite un pitido)
Esto es posible porque, además de las aplicaciones móviles y de escritorio, Spotify ofrece una versión de reproductor web en open.spotify.com. Las listas de reproducción y los podcasts disponibles en el reproductor web, como ocurre con cualquier sitio web, son rastreados por motores de búsqueda como Google.
Esto significa que los sitios web de software “libre” ilícito ahora tienen mayor visibilidad y mayores posibilidades de dirigir tráfico a sus servidores, que a menudo están plagados de anuncios, spam, “encuestas” falsas y obsequios criptográficos por los que conviene navegar. tiene, tal vez, finalmente poder descargar un producto de software crackeado, lo que una vez más es necesariamente arriesgado.
Le preguntamos a Spotify si tiene controles o tecnologías automatizadas para detectar y prevenir el spam, y si se está abusando de alguna aplicación o servicio de Spotify de terceros para introducir contenido spam en la plataforma.
Spotify eliminó la lista de reproducción y el podcast “Sony Vegas Pro” y su portavoz respondió:
“El título de la lista de reproducción en cuestión ha sido eliminado”, informó Spotify a BleepingComputer.
“Spotify Reglas de la plataforma prohibir publicar, compartir o proporcionar instrucciones sobre la implementación de malware o prácticas maliciosas relacionadas que busquen dañar u obtener acceso no autorizado a computadoras, redes, sistemas u otra tecnología.
No recibimos respuesta a nuestras otras preguntas.
Los “episodios” de podcasts utilizan discurso sintetizado
BleepingComputer descubrió que el problema del spam de Spotify no se limitaba a listas de reproducción que promocionaban enlaces a software pirateado, sino también a contenido digital pirata en general, incluidos libros electrónicos.
En comparación con las listas de reproducción, hemos observado muchos más casos de podcasts falsos, cada uno con múltiples “episodios”, publicados con la aparente intención de promover enlaces spam, “torrents” y canales de Telegram que parecen ser estafas.
(La computadora emite un pitido)
(La computadora emite un pitido)
Estos “episodios” duran aproximadamente de diez a veinte segundos e incluyen audio de voz sintetizada que solicita a los usuarios que visiten el “enlace en la descripción”. Uno de estos episodios se transcribe a continuación:
“Hola espectadores, bienvenidos a mi canal. Tengo buenas noticias de mi parte. Si desean descargar o escuchar audiolibros de este canal, hagan clic en el enlace en la descripción y suscríbanse allí. Obtendrán acceso ilimitado a los libros. síganme, estoy buscando varias opciones de libros electrónicos y audiolibros. Gracias por venir a mi canal, un cordial saludo de mi parte.
Estos enlaces conducen a una página con botones de “descargar” o “leer en línea” junto a la imagen de portada digital del libro que se anuncia. Sin embargo, al hacer clic en cualquiera de los botones se intenta iniciar una investigación o, peor aún, dirigir a los usuarios a Frágiles extensiones de Chrome que “bloquean anuncios” quién puede, en su lugar, recopilar sus datos:
Siguiente: Consejos y modificaciones del juego “GTA V”
Asimismo, algunos podcasts que descubrimos afirmó ofrecer códigos de trucos de juegos para títulos exitosos como Apex Legends, hacks de Fortnite, scripts de Roblox, “mods de GTA V” y entrenadores.
(La computadora emite un pitido)
Se podía hacer clic en el texto “Códigos de trucos gratuitos” en la descripción de este episodio de muestra y conducía a un tramposo.ninja sitio web:
Publicado a través de servicios de distribución de podcasts de terceros
Curiosamente, si bien plataformas como Spotify pueden tener tecnologías automatizadas y barreras que limitan los nombres o descripciones de listas de reproducción no válidas, las aplicaciones y servicios de terceros representan otro vector de amenaza que los actores pueden aprovechar para poner el pie.
Un denominador común entre muchos, aunque no todos, “podcasts” fue el uso de servicios de terceros que brindan servicios de alojamiento, publicación y distribución a productores de podcasts en plataformas de transmisión, incluido Spotify.
Notamos un “Desarrollado por Firstory Hosting“banner agregado al área de descripción de estos podcasts.
Lanzado en 2019, primera historia es un servicio en línea diseñado para “permitir a los podcasters de todo el mundo transmitir en cualquier lugar y comenzar a conectarse con el público”. »
Se puede utilizar Firstory para publicar podcasts en Spotify, pero la plataforma reconoce que el spam es un problema persistente que está trabajando para reducir.
“Las cuentas y el contenido de spam son desafíos continuos y es algo en lo que continuamos mejorando”, escribió Stanley Yu, cofundador de Firstory, a BleepingComputer en respuesta a nuestras preguntas.
“Cualquiera puede usar nuestra plataforma para publicar podcasts en Spotify. Sin embargo, contamos con algunos filtros para evitar que las cuentas utilicen dominios fraudulentos específicos o direcciones de correo electrónico que contengan variaciones como cuenta+.[numbers]@gmail.com o ‘.’ en correos electrónicos.”
“Estas cuentas de spam no sólo violan los derechos de los creadores que más valoramos, sino que también aumentan nuestros costos operativos”.
“Hemos dedicado recursos considerables para resolver este problema”.
Yu explicó que las medidas de seguridad implementadas incluyen la verificación y el bloqueo del correo electrónico; es decir, realizar “una serie de comprobaciones para bloquear direcciones de correo electrónico sospechosas o fraudulentas durante el proceso de registro de la cuenta”.
Además, la plataforma trabaja en estrecha colaboración con Spotify y, según Yu, revisa e informa rápidamente cualquier contenido infractor detectado.
“También tenemos una integración API con Spotify para eliminar cualquier contenido marcado”.
“Escaneamos títulos de podcasts y mostramos calificaciones para palabras clave específicas como EPUB, PDF, etc., para evitar alojar contenido spam. Un problema aquí es que algunos episodios usan variaciones como “EPUB “o contienen términos como ‘epub’ en contextos no relacionados (p. ej. ‘república’). Estos casos requieren atención especial durante nuestro proceso de revisión”, concluyó Yu.
Desde introducir enlaces “escritos a mano” en perfiles de citas hasta secuestrar sitios web gubernamentales y académicos, actores sin escrúpulos han utilizado repetidamente nuevas tácticas para difundir contenido no deseado entre las masas. Y ahora tampoco te dejarán en paz con tu música favorita.