miércoles, 5 de marzo de 2014

Malware en Android usa WhatsApp, Telegram y ChatON para suscribir números de teléfono a sistemas SMS Premium


Hace ya algún tiempo que se publicó ya el artículo de la linterna molona para Android, un software malicioso que busca generar dinero mediante una estafa de suscripción de las víctimas a sistemas de envío de mensajes SMS Premium. El esquema de Fraude Online que utilizan los creadores de ese tipo de app maliciosa para Android consiste en conseguir ejecución de la app en un terminal, desde ahí localizar el número de teléfono de la víctima y suscribirlo a un programa de mensajes SMS Premium.
Para localizar el número de teléfono la linterna molona buscaba en la app de WhatsApp el número - una forma curiosa de espiar el WhatsApp de alguien - después vía web suscribía dicho número de teléfono, y cuando llegaba el SMS con el código de confirmación lo leía y lo utilizaba para confirmar la suscripción. Este esquema se ha replicado por muchas apps, y hasta se creó una app llamada STOP Estafas SMS Premium que evalúa los permisos que tiene cualquier app para bloquear todas aquellas que puedan ser similares a la linterna molona.
Figura 1: STOP Estafas SMS Premium
El laboratorio de Eleven Paths lleva tiempo mirando en detalle cómo el malware evoluciona en Google Play, de donde salieron todas las apps fraudulentas de WhatsApp, y un detallado estudió de cómo el Crapware vive por Google Play. En uno de los análisis ha aparecido esta app, llamada Cámara Visión Nocturna - actualmente viva y disponible en Google Play - que realiza la misma estafa que la linterna molona.

Figura 2: Otra app que estafa con SMS Premium
No hace falta ser muy listo para darse cuenta de que es una estafa, ya que con mirar los comentarios de la gente se puede ver que se dedica a suscribir a las víctimas a sistemas de mensajes SMS Premium, algo que debería ser suficiente para que no se la instalase nadie. Eso sí, los tipos detrás de la estafa con BlackSEO consiguen un 3.5 de valoración media en la app

Figura 3: Algunos comentarios de la app

Para montar el esquema de la estafa, la app utiliza el conocido BroadcastReceiver que tanto se explica en el libro de Desarrollo Seguro para Android, que es utilizado de forma habitual por el malware bancario, ya que permite acceder a los mensajes SMS en los que llegan los códigos OTP de confirmación de operaciones.

Figura 4: Busca el mensaje SMS con ese texto para hacer la suscripción

Lo curioso de este malware es que tiene en cuenta el despliegue masivo de Telegram y lo de moda que está entre todos los usuarios, y como hiciéramos nosotros con Telegram Anti-Delete Protection Tool para evitar que se borren los mensajes remotamente, han debido estudiar la app en detalle para sacar más partido a su estafa. En este caso, entre las víctimas de esta app maliciosa para Android, en una sección del código se puede ver cómo además de espiar WhatsApp hace uso de Telegram para buscar el número de teléfono de la víctima y así poder suscribirlo a la web de envío de mensajes SMS Premium. Por si no fuera poco el uso de Telegram, este malware también hace uso de ChatON de Samsung para localizar el número de teléfono de la víctima.

Figura 5: Esta app busca en WhatsApp, Telegram y ChatON el número de teléfono de la víctima
Al final, el mundo del malware para Android busca cualquier modelo de negocio, ya sea vendiendo troyanos para espiar Android, creando juegos para robar el WhatsApp o haciendo estafas SMS como la linterna molona. Lo que llama poderosamente la atención es que Google Play permita que esto pase, que meter crapware sea tan fácil como falsificar WhatsApp, o que incluso suban apps que pidan las cuentas de Apple para usar iMessage o directamente suplanten el software comercial de Apple en Google Play. Parece que algo hay que cambiar en las políticas de control de las apps que se publican.
 
 

No hay comentarios:

Publicar un comentario