Borra esta app: secuestra tu móvil y lo usa para enviar SMS maliciosos

Borra esta app: secuestra tu móvil y lo usa para enviar SMS maliciosos

David Soriano

Se ha descubierto una nueva aplicación que, bajo la máscara de una aplicación de gestión de SMS, usa tu número de teléfono como nido para conseguir un montón de códigos de autenticación de dos factores y crear cuentas falsas con esos SMS maliciosos. Para dar una idea de la magnitud de las personas alcanzadas, ya tenía más de 100.000 descargas.

Esta vulnerabilidad ha sido descubierta por Maxime Ingrao, investigador de ciberseguridad en EvinaTech. Además de su peligro, se relaciona peligrosamente con otras aplicaciones peligrosas para crear todo un ecosistema de creación de cuentas falsas.

Esta app crea cuentas falsas vía SMS

Tras la instalación en el dispositivo, la aplicación Symoo solicita acceso para enviar y leer SMS, lo que suena normal ya que se comercializa como una aplicación de gestión de SMS «fácil de usar». En la primera pantalla, le pide al usuario que proporcione su número de teléfono y después de eso, se superpone a una pantalla de carga falsa que supuestamente muestra el progreso de la carga de recursos.

Imagen del usuario de twitter
Maxime Ingrao
@IngraoMaxime
Found new #Android #malware that read all the sms and send to a server 👀

A website sells account creations (Fb, Google..) it uses infected phones to make the registrations with auth sms 🥷🏻

N°1 in new sms app in Play Store in #India it has infected 100k+ people there 👾 https://t.co/VH6DHWEG4y

01 de febrero, 2024 • 22:22

79

9

Sin embargo, este proceso se prolonga, lo que permite a los operadores remotos enviar múltiples mensajes SMS 2FA (autenticación de dos factores) para crear cuentas en varios servicios, leer su contenido y reenviarlo a los delincuentes.

Cuando se complete el proceso, se borrará automáticamente todo rastro, la aplicación se congelará y nunca llegará a la interfaz de SMS prometida, por lo que los usuarios normalmente la desinstalarán sin más pensando que no funciona y sin saber de lo que han sido víctimas.

En ese momento, la aplicación ya habrá utilizado los números de teléfono de los usuarios de Android para generar cuentas falsas en varias plataformas en línea e incluso algunos de los usuarios que han dejado sus comentarios de valoración en Play Store dicen que su bandeja de mensajes ahora está llena de códigos de acceso únicos para cuentas que nunca crearon.

Interconectada con otras apps de Play Store

Teniendo en cuenta que tener un número de teléfono válido en el que recibir un código de un solo uso es a menudo la única forma posible de verificar la creación de una nueva cuenta, las personas que desean participar en actividades ilegales o anónimas encuentran útiles estas cuentas anónimas creadas por aplicaciones de este tipo.

Symoo app

Además, Maxime Ingrao descubrió que la aplicación Symoo extrae datos de los SMS al dominio goomy[punto]fun. Con una comprobación en VirusTotal, resulta que este dominio fue utilizado por una aplicación llamada VirtualNumber que estuvo en Google Play en algún momento, pero ya se eliminó de Play Store.

El desarrollador de la aplicación ‘Virtual Number’ también creó otra aplicación en Google Play llamada ‘ActivationPW – Números virtuales’, descargada 10.000 veces, que ofrece «números online de más de 200 países» que puede usar para crear una cuenta sin necesidad de introducir tu número de teléfono. Usando esta aplicación, los usuarios pueden «alquilar» un número de teléfono por menos de un dólar y, en muchos casos, usar ese número para verificar la cuenta. Parece que todo encaja, ¿verdad?

Cuando hemos escrito estas líneas, la aplicación Symoo todavía sigue en Google Play Store. A pesar de los esfuerzos de Google, su Play Store de Android todavía sigue siendo un coladero para todo tipo de malware.

Aunque la tienda de aplicaciones sea vigilada cuidadosamente, los moderadores no siempre pueden detectar estas aplicaciones antes de que se publiquen, aunque tratarán de eliminar la amenaza lo antes posible. Esta aplicación ya ha sido reportada, por lo que se espera que, con el informe de seguridad de Ingrao, tenga las horas contadas.