Despliegue del agente para Android

Instrucciones de instalación del agente antifraude para celulares con sistema operativo Android.

Características del agente
Requisitos previos
Video con todos los pasos
Nombre del dispositivo
Desactivar bloqueador automático
Instalar aplicaciones desconocidas
Desactivar Play Protect
Ejecutar el instalador
Abrir la aplicación
Permitir ajustes restringidos
Activar Accesibilidad
Verificar la instalación del agente

Características del agente

Antes de iniciar cualquier proceso de instalación, actualización o desinstalación, es importante que conozca la estructura del agente para que prepare su infraestructura y permita su funcionamiento. A continuación se realizará una caracterización de sus propiedades:

Conectividad	El agente requiere comunicarse con un servidor externo. Esta comunicación sucede solamente en una vía (agente -> servidor) y lo hace por 1 puerto, el TCP 443. Normalmente este puerto es usado para tráfico HTTPS, por lo que no debería tener problemas en su infraestructura con bloqueos.
Seguridad en su ejecución	Google Play Protect podrá bloquear la instalación del agente en algunos celulares. En las versiones de Android 13 hacia abajo, se le advertirá sobre el riesgo de instalar este agente pero le dará la opción de continuar su instalación. En versiones 14 y superiores, Google Play Protect bloqueará por completo su instalación y debido a ello deberá pausar temporalmente Google Play Protect para instalar el agente.
Carpetas y archivos que se crean	El agente antifraude para Android usa la característica Shared Preferences para almacenar su configuración interna. El directorio usado para este almacenamiento se encuentra en /DATA/data/com.nf.thefraudexplorer.
Arranque	La aplicación arranca automáticamente porque está anclada a los servicios de Accesibilidad en Android.
Espacio en almacenamiento	1.44 MB (1440 Kb)
Memoria RAM que consume	Entre 8 MB y 11 MB de memoria RAM.
Compatibilidad con Android	Versiones 4.4 en adelante

Conociendo estas propiedades, puede proceder con el despliegue del agente.

The Fraud Explorer es un software que junto con FraudGPT detecta el fraude y la corrupción en las organizaciones. Este software está siendo desarrollado por NOFRAUD.la. Este contenido es privado y únicamente está disponible para clientes de NOFRAUD. Está prohibida su publicación en fuentes abiertas o disponibles al público.

Requisitos previos

Antes de ejecutar cualquier procedimiento en un sistema operativo Android es importante tener en cuenta los siguientes requisitos previos:

La persona que vaya a instalar el agente en el celular debe tener todos los permisos necesarios para modificar cualquier configuración en el dispositivo, debido a que algunas operaciones que se deben ejecutar requieren modificar características e incluso protecciones de seguridad.

Si su empresa tiene instalado un MDM, podrá copiar en el dispositivo el APK del agente (instalador) pero no podrá realizar una instalación silenciosa y masiva, debido a que Google requiere que las configuraciones de seguridad se realicen por una persona y no de manera automatizada. Por ejemplo, para que el agente funcione se requiere darle el permiso para que pueda observar el contenido de otras aplicaciones y este permiso no se puede establecer de forma automática y desatendida.

Podrá usar el MDM para realizar la instalación remota a través de la toma de control del dispositivo, donde un administrador pueda manipularlo remotamente, visualizando la pantalla y ejecutando las acciones, pero nunca de forma automática debido a las restricciones y protecciones de seguridad que el fabricante Google a configurado para Android.

Este agente está diseñado para ser instalado en dispositivos que pertenecen a la organización, es decir, el agente no está diseñado para ejecutarse en celulares personales sino corporativos, no solo por los requerimientos técnicos a la hora de instalarse, sino por reglamentación del uso de nuestro agente, donde queda totalmente prohibido instalarse en dispositivos que no sean propiedad de la organización.

Este agente es compatible con los sistemas Android más antiguos, desde la versión 4.4 hasta la más reciente. En las versiones antiguas se requieren menos pasos de configuración debido a las protecciones reducidas de seguridad.

Esta aplicación (APK) no está disponible en Google Play Store debido a que es una aplicación privada, no disponible al público.

Video con todos los pasos

En vez de seguir los pasos documentados, también puede optar por visualizar este video.

El video contiene todos los pasos de la guía ejecutados de forma práctica y cada uno de los pasos está separado por capítulos.

Nombre del dispositivo

Antes de empezar con el procedimiento de instalación, se debe ejecutar una de las tareas más importantes: establecer el nombre del dispositivo.

El agente antifraude necesita saber a quién pertenece el dispositivo para poder asociar a él los eventos que va recolectando y enviando al servidor de analítica. No es necesario que el nombre del dispositivo sea el nombre de una persona, también puede ser el nombre de un usuario o incluso un identificativo que la empresa pueda usar para saber a qué colaborador se le puede asociar el uso del celular.

En las empresas a veces tienen un celular asignado a una regional, a una sucursal o local, en vez de a un colaborador. En este caso se debe tener en cuenta la limitante de no poder asociar un comportamiento humano anti ético identificado a una persona, sino a un identificador.

Es de entera responsabilidad de la empresa el poder asociar un identificador adecuado para cada celular, de tal forma que más adelante se pueda saber exactamente a quién pertenece una conducta en particular.

Si esta configuración no se establece, el dispositivo por defecto asigna el nombre del modelo del celular, por ejemplo GalaxyA36. Esto significa que si la persona que está usando el celular comete un acto anti ético, no se sabrá qué persona fue, solo se sabrá que el acto proviene de un celular con nombre GalaxyA36, lo cual no solo va a dificultar la atención del acto, sino que hará imposible poder prevenir un acto anti ético dada la imposibilidad de identificar el colaborador que está haciendo uso del dispositivo.

Para establecer el nombre del dispositivo, se debe ir a Ajustes, Acerca del Teléfono y dar clic en el botón Renombrar. En algunas versiones de Android esta configuración puede cambiar ligeramente, encontrándose en Configuración, Sistema, Acerca del Teléfono, Nombre del Dispositivo. Una vez establecido el nombre del dispositivo se puede continuar con los pasos de instalación del agente.

Desactivar bloqueador automático

Bloqueador Automatico.png En las versiones más modernas de Android, como la 16 o superior, existe una característica de protección adicional que ha incorporado Google a sus sistema operativo para protegerlo de acciones maliciosas.

Esta característica se llama Bloqueador Automático. Es muy similar al Modo Hermético de Apple y lo que hace es que cierra el equipo móvil a la instalación de aplicaciones y a la modificación de configuraciones que pueda poner en peligro la privacidad y los datos del dueño del equipo.

Esta opción activa características antirobo (apaga la pantalla si detecta que el equipoo ha sido arrebatado), bloquea el equipo cuando el celular entra en modo avión o cuando pierde conexión con la red wifi, reinicia el equipo automáticamente por inactividad de más de 3 días, bloquea el acceso a redes WIFI que no sean seguras, bloquea las conexiones por puerto USB hacia los computadores y por último bloquea todo tipo de aplicaciones que no provengan del Google Play Store, haciendo también muy dificil o imposible que se desactive la protección de Play Protect para instalar aplicaciones de orígenes desconocidos.

Esta configuración impide que nuestro softawre antifraude se instale, por ello hay que desactivarla temporalmente para poder llevar a cabo l ainstalación del agente en el equipo móvil.

Para ejecutar esta acción debe dirigirse a Ajustes, Seguridad y Privacidad, Bloqueador Automático.

Este no es el único procedimiento que se ejecutará para poder instalar el agente antifraude. Google ha preparado otros mecanismos de seguridad que impiden que aplicaciones de terceros no registrados en Google Play puedan desplegar sus aplicaciones en Android, es por ello que de ahora en adelante lo guiaremos en la modificación de estas opciones de seguridad de forma temporal para que pueda llevar a cabo la instalación sin problemas.

Instalar aplicaciones desconocidas

Google ha configurado una característica de seguridad en su sistema operativo Android que lo protege de instalaciones de Apps maliciosas. Esta característica consiste en impedir que desde aplicaciones como Chrome o como Mis Archivos se instalen aplicaciones de desarrolladores desconocidos.

Al final del día lo que esto significa es que en Android no se puede instalar nuestro agente antifraude a menos que se le permita hacerlo a la aplicación donde se encuentra nuestro APK. Al agente antifraude de NOFRAUD no está listado en la tienda de Google Play porque nuestro software no es público sino privado.

En este punto, la empresa (nuestro cliente) ya debe contar con el APK del agente (DeviceApp.apk) y debería haberlo descargado al celular donde desea instalarlo. Nosotros recomendamos que se transmita el APK usando el MDM de la organización, pero en caso de no tenerlo podría hacerse mediante un cable USB al dispositivo y transferirle el archivo APK o también puede ser a través de Google Chrome usando el link de descarga proporcionado por NOFRAUD.

En Android, para navegar los archivos, se usa una aplicación llamada Mis Archivos, desde donde podrá navegar todo el filesystem de Android y desde allí buscar el archivo DeviceApp.apk para proceder a instalarlo.

En este orden de ideas, para poder instalar nuestro agente, se le debe decir a Android que permita que desde la aplicación Mis Archivos y Chrome se pueda ejecutar la instalación de un programa desconocido.

Para ejecutar esta acción debe dirigirse a Ajustes, Seguridad y Privacidad, Más Ajustes de Seguridad, Instalar aplicaciones desonocidas. En algunas versiones de Android esta opción también se puede encontrar en Seguridad y Privacidad, Ajustes adicionales, Instalar aplicaciones de fuentes externas y allí activar Mis Archivos y Chrome.

Desactivar Play Protect

Desactivar Play Protect.png Gogle Play Protect es el sistema de seguridad integrado de Google para Android. Funciona como un antivirus automático que protege el celular contra apps maliciosas, fraudes y comportamientos peligrosos, sin que se tenga que instalar nada extra ni configurarlo constantemente.

Qué hace exactamente Google Play Protect?, de forma continua y en segundo plano, Play Protect:

Revisa las apps antes de descargarlas desde Google Play Store para comprobar que sean seguras.
Escanea periódicamente todas las apps instaladas, incluso las que vienen de fuera de la Play Store (APK u otras tiendas).
Detecta malware y software no deseado (apps que espían, engañan o hacen cosas ocultas) y avisa si encuentra algo sospechoso.
Bloquea, desactiva o recomienda desinstalar apps peligrosas cuando el riesgo es alto.
Protege la privacidad, alertando sobre apps que usan permisos sensibles de forma abusiva y, en algunos casos, restableciendo permisos automáticamente.
Impide la instalación de apps no verificadas que intentan usar permisos críticos.

Este último punto es el que bloquea nuestra APP porque no tenemos publicado nuestro software en la tienda pública de Google Play.

Para desactivarlo temporalmente, diríjase a la aplicación Play Store, presione el ícono de su perfil en la parte superior derecha (normalmentetiene su foto de eprfil o avatar) y seleccione la opción Play Protect. En la pantalla de Play Protect, presione la tuerca de configuración ubicada en la esquina superior derecha y pause la protección para que Play protect no impida la instalación temporalmente de aplicaciones desconocidas.

Esta configuración de seguridad se volverá a activar de manera automática al día siguiente, por lo que no debe preocuparse de volverla a activar de nuevo de forma inmediata.

Ejecutar el instalador

Entre a Chrome y pegue el link que se le ha enviado previamente para descargar el agente a los celulares. Una vez cargue el link le aparecerá una página de Sharepoint con la opción de descargar la aplicación al dispositivo móvil.

Recuerde que como paso previo, debió habilitar la aplicación Chrome y Mis Archivos para poder instalar desde allí aplicaciones con un origen desconocido.

Una vez descargado, podrá ejecutar el instalador DeviceApp.apk (undirlo con el dedo) y verá que le aparecerá un aviso en la parte inferior de la pantalla que le preguntará si desea instalar la app. A ese aviso indíquele que sí desea instalarla.

Si no ha desahabilitado previamente Play Protect y el Bloqueador Automático, verá que la instalación es bloqueada y dependiendo de la versión de Android, le permitirá continuar la instalación dando clic en el botón Instalar de todas formas o también se le podrá mostrar un aviso que no le permitirá de ninguna manera continuar con la instalación.

En caso de que no le permita continuar, diríjase a la aplicación Play Store, presione el icono de su perfil en la parte superior derecha y seleccione la opción Play Protect. Adicionalmente acuérdese de deshabilitar el Bloqueador Automático en los Ajustes del celular.

En la pantalla de Play Protect, presione la tuerca de configuración ubicada en la esquina superior derecha y pause la protección para que Play Protect no impida la instalación temporalmente de aplicaciones desconocidas.

Esta configuración de seguridad se volverá a activar de manera automática al día siguiente, por lo que no debe preocuparse de volverla a activar de nuevo de forma inmediata.

Abrir la aplicación

Una vez que la instalación se ha completado, la aplicación se abre por primera vez. Este punto es crucial porque se le deben otorgar los permisos que se piden para que pueda funcionar correctamente. Este es el momento de darle al botón Permitir para que pueda continuar.

Internamente el agente antifraude no se conecta con ningún dispositivo. Este aviso ocurre por la manera del agente acceder al nombre del dispositivo. En Android, el nombre del dispositivo se almacena dentro del módulo de Bluetooth y las aplicaciones que deseen acceder al nombre del dispositivo deben solicitar permisos relativos con Bluetooth, lo que se interpreta como un intento de conexión a dispositivos cercanos.

Si no permite esta solicitud, el agente antifraude no podrá acceder al nombre del dispositivo y será incapaz de asociar un comportamiento anti ético con el dispositivo, por eso se recomienda tener especial cuidado en seleccionar la opción Permitir para poder continuar con los demás permisos que solicita la aplicación.

El ícono de la aplicación es genérico, así como su nombre "Device Helper". Esto quiere decir que el ícono tendrá el aspecto del robot de Android, esto se hace así a propósito. Se recomienda adicionalmente que el ícono de la aplicación lo mueva a una ubicación donde no quede visible todo el tiempo, es decir, fuera de la pantalla principal.

Una persona con acceso a un celular que no esté administrado por un MDM, podrá eliminar la aplicación sin problemas solamente sosteniendo el dedo y presionando la opción "Eliminar". En caso de que cuente con un MDM se recomienda impedir que el usuario pueda eliminar aplicaciones del dispositivo sin autorización, incluso, se recomienda que no pueda acceder a las opciones de configuración del dispositivo.

Una vez superado este permiso, continuaremos con los siguientes relacionados con la Accesibilidad y los Ajustes Restringidos.

Permitir ajustes restringidos

El agente antifraude necesita tener permisos relativos a la Accesibilidad para poder observar las interacciones que tiene un usuario con las aplicaciones instaladas en el dispositivo.

Sin embargo, a través del tiempo Google se ha dado cuenta que muchas aplicaciones maliciosas se han aprovechado de esta funcionalidad para robar datos y espiar sin el consentimiento del usuario o de la empresa que administra el dispositivo móvil. Es por ello que las aplicaciones que desean hacer uso de la Accesibilidad ahora deben ser activadas manualmente en dos pasos por el usuario que está haciendo uso del dispositivo.

El primer paso consiste en permitir los Ajustes restringidos y se debe especificar que la aplicación Device Helper (el agente antifraude) es una aplicación que tendrá este tipo de ajustes especiales.

Para permitir estos ajustes restringidos debemos ir a Ajustes, Aplicaciones, buscar la aplicación con nombre Device Helper, pulsar sobre ella y luego pulsar sobre los 3 puntos verticales ubicados en la esquina superior derecha, para luego pulsar el botón Permitir ajustes restringidos.

Puede pasar que no vea los tres puntos. En caso de no verlos, intente abriendo la aplicación Device Helper de nuevo y vuelva a intentar llegar a la opción de Ajustes restringidos. A veces pasa que los tres puntos no aparecen de inmediato una vez instalada la aplicación.

Esta operación es el primer paso (de dos) para permitir que el agente use las capacidades de la Accesibilidad y así poder observar las acciones que tiene el usuario sobre las aplicaciones instaladas en el celular.

Si esta opción no se activa, será imposible que el agente se active y por ende, a pesar de estar instalado, no realizará ningún tipo de observabilidad sobre el comportamiento que está teniendo el usuario que manipula el dispositivo en el día a día en la organización.

Activar Accesibilidad

Una vez completado el paso uno (Permitir Ajustes restringidos) es hora de continuar con el paso dos: activar la accesibilidad para el agente antifraude.

Para activarla se debe ir a Ajustes, Accesibilidad y allí habilitar el servicio Device Helper. En celulares Huawei, esta opción se encuentra en Configuración, Asistencia inteligente, Accesibilidad y Device Helper. En celulares Samsung esta opción se encuentra en Ajustes, Accesibilidad, Aplicaciones instaladas, Device Helper.

En caso de que le aparezca la aplicación Device Helper en gris (que no se puede intentar activar o desactivar), es porque no ha realizado el paso de activar los Ajustes restringidos.

Después de activar Device Helper, se le mostrará un diálogo preguntándole si desea permitir que la aplicación vea, controle la pantalla y realice acciones. Debe presionar el botón Permitir para continuar.

Es posible que además de este diálogo aparezca otro indicándole que revise los ajustes del idioma, a lo cual simplemente hay que presionar Aceptar ignorando la advertencia.

En este momento se han completado las dos opciones para terminar de activar el agente antifraude respecto a los permisos de seguridad que necesita la aplicación para poder realizar su trabajo.

A través de la accesibilidad, el agente antifraude observa la interacción que tiene un colaborador con las aplicaciones del negocio monitoreando sus actividades y escogiendo el mejor dato para luego ser analizado con los algoritmos que detectan y previenen actividades anti éticas.

Estas dos acciones, por ejemplo, no pueden automatizarse a través de un MDM, porque así lo ha decidido Google a través de sus políticas de seguridad.

Verificar la instalación del agente

En este punto, habiendo completado todas las operaciones de instalación y habilitación de permisos de seguridad, podemos proceder a verificar que el agente se encuentre funcionando correctamente.

Para ello buscamos la aplicación Device Helper en la parrilla de aplicaciones de Android, presionamos en ella y comprobamos los campos que se indican a continuación:

Identificación del agente: en este caso, ramonrios_222f754_and. Indica que el agente estará siendo identificado con este ID "ramonrios" y este se extrajo del nombre del dispositivo. Si ve un nombre genérico aquí, es posible que se haya saltado el paso de establecer un nombre al dispositivo.
Dirección: aquí verá una dirección https. Si no ve ninguna dirección y ve por ejemplo un valor null, significa que algo malo sucedió.
Estado del servicio: si ve el valor "enabled" significa que el agente fue exitosamente activado y su funcionamiento es óptimo. Si ve el valor "disabled" significa que el proceso de activación de la accesibilidad falló y deberá hacerlo de nuevo.

La aplicación Device Helper se puede mover de la pantalla principal a otro espacio, paar que no quede junto a otras aplicaciones de la pantalla de inicio. Esto se puede hacer a través de las políticas MDM que tenga la organización, así mismo a través de esas políticas se puede configurar el dispositivo para impedir que el usuario desinstale la aplicación Device Helper.

En este punto puede presionar el botón ACCEPT AND CONTINUE para culminar todo el proceso de instalación del agente antifraude en el dispositivo Android. Ya no es necesario configurar nada adicional. En este punto ya puede volver a activar las opciones de seguridad que deshabilitó en un principio.