Las aplicaciones falsas que se están haciendo pasar por Telegram en Google Play se multiplican. Y, con ellas, aumentan los riesgos de infección. Un informe publicado por Kaspersky desvela que varios clones de Telegram han acumulado miles y miles de descargas incluyendo un virus en su interior.
El catálogo de aplicaciones de Google Play vuelve a estar en el punto de mira debido a una infección de spyware que ha afectado a más de 60.000 móviles. En este caso, y como ha ocurrido en otras ocasiones, la aplicación cuya identidad se ha suplantado ha sido Telegram. Los usuarios pensaban que instalaban una app segura, pero estaban descargando una copia infectada.
Gran riesgo para los usuarios
Estos clones de Telegram replican el propio diseño de la aplicación original y cuentan con, aparentemente, las mismas funciones. Lo que prometen, en la mayor parte de los casos, es algo que consigue captar la atención de muchos de los usuarios: una experiencia de uso más rápida. Con esa promesa de ganar velocidad respecto al uso de Telegram en su versión oficial y asegurando que la aplicación no les repercutirá negativamente de ninguna manera, los usuarios hacen la descarga.
Cuando estos clones se instalan, no parece que haya ningún problema. Lo cierto es que el código está escondido de forma que nadie lo pueda ver si no se llevan a cabo una serie de análisis profundos. En este caso, quien lo ha descubierto, tal y como decíamos, ha sido Kaspersky. Los especialistas de esta empresa de antivirus han reportado la información a Google para que tome cartas en el asunto y que proceda a la eliminación de las aplicaciones. No obstante, en el momento en el que se ha publicado la información, algunas de estas apps infectadas todavía estaban disponibles en la tienda oficial de Android.
Descubiertas a tiempo
Lo único positivo de lo que ha sucedido es que Kaspersky ha descubierto estas aplicaciones infectadas en un momento en el que todavía no se había producido un rango de infecciones crítico. Son más de 60.000 personas las que se han visto afectadas, pero se cree que los cibercriminales detrás de esta campaña de infección estaban solo en un primer periodo de prueba. Para ello, lo que habían hecho era concentrar los ataques entre usuarios concretos, para lo cual algunas de las apps se habían presentado en varios idiomas determinados, como chino.
Es posible que, en el momento en el que se hubiera visto que la infección tenía éxito, pasase a una segunda fase en la cual tratarían de infectar a personas de todo el mundo o de un rango de idiomas más variado. De todas formas, es posible que gracias a la alerta publicada por Kaspersky se detenga la campaña y que estos clones infectados de Telegram acaben desapareciendo antes o después.
Según los informes que ha publicado Kaspersky, estas aplicaciones infectadas tienen un archivo adicional en su interior junto a los que copian la estructura principal de Telegram. Se trata del archivo com. wsys, el cual se activa en el momento en el que el usuario instala la aplicación. Este tiene varias funciones. Lo primero que hace es extraer del móvil tanto el nombre del usuario, como su ID y su número de teléfono. Al mismo tiempo, también accede a la agenda telefónica y roba todos sus contactos.
No contentos con eso, lo que hacen los hackers con estas aplicaciones falsas va más allá: cada vez que uno de los usuarios recibe un mensaje en la aplicación, el programa espía que viene incluido con las aplicaciones manda una copia a los cibercriminales. Junto al mensaje se incluyen todos los datos relacionados, como los de los grupos, el nombre del canal o el chat utilizado. Además de esto, el spyware mantiene una vigilancia constante del móvil que ha infectado. De esa forma, si el usuario añade un nuevo contacto en su agenda, el programa se encarga de enviárselo también a los cibercriminales. Así siempre tienen toda la información en sus manos sin ninguna excepción.
Google ha hablado con BleepingComputer para informarles de cómo ya han realizado el borrado de las apps, aunque algunas de ellas ya ha dicho Kaspersky que aparentemente siguen estando online. Desde Android se recuerda que los usuarios están protegidos por el programa Google Play Protect, el cual avisa de amenazas maliciosas. También han confirmado que han expulsado a los usuarios que habían subido esas aplicaciones a su tienda Google Play. No obstante, es recomendable mantenerse alerta, puesto que, cada vez más, se están viendo avisos de aplicaciones falsas infectadas, sobre todo las que copian Telegram.