A los problemas de seguridad recientemente descubiertos en Android se le suma una nueva aplicación maliciosa que estuvo presente en Google Play. Esta, pese a no contener malware como tal, sí que tenía fines poco lícitos.
Se disfrazaba como una aparente app de mensajería con la que gestionar los SMS sustituyendo a la app nativa de Mensajes de Google. Sin embargo, bastaba con leer sus reseñas para observar que sus fines eran bien distintos, ya que ni siquiera llegaba a funcionar correctamente una vez que ha logrado su objetivo.
Los permisos son, una vez más, la puerta de entrada
La app a la que nos referimos se llama Symoo, no confundir con el operador Simyo, y como ya decíamos aparecía en Google Play como una app de SMS. Allí tenía una calificación de 3,4 estrellas, aunque las reseñas no son muy positivas precisamente.
Fue el investigador francés Maxime Ingrao quién alertó a Google del problema con esta aplicación. Y es que nada más abrirla solicitaba el permiso de lectura y escritura de SMS, que pese a ser uno de los permisos más peligrosos de conceder, no parecía revestir desconfianza al ser Symoo una app de SMS. Después solicitaba el número de la víctima y ahí empezaba el "show".
Tras indicar el número de teléfono, aparecía una supuesta pantalla de carga en la que el usuario debía esperar a que se completase su autenticación y ya entrar en la interfaz principal de la app. Sin embargo, ese momento nunca llegaba, ya que entre tanto lo que hacía Symoo era utilizar el número de teléfono de la víctima para crear cuentas en multitud de plataformas como Google, Instagram, Facebook y otras.
Al darse de alta en una plataforma con un número de teléfono, se suele enviar un SMS con un código que sirve para verificar la identidad del usuario. Y precisamente Symoo aprovechaba esa falsa pantalla de carga para que, sin que la víctima sea consciente, se estuviesen recibiendo esos mensajes y añadiéndolos automáticamente en las plataformas para finalizar el registro.
Según el investigador, podría tener relación con el alquiler de los números de la víctima como "números virtuales" que mucha gente suele utilizar para registrarse en WhatsApp con un número alternativo. Aunque evidentemente, quienes adquieren estos números no son culpables, ya que no tienen por qué conocer cuál es el origen real de esos números que alquilan.
Haber podido conocer este oscuro funcionamiento de Symoo se debe en buena parte a que las reseñas mencionaban que, tras no poder usar la app y desinstalarla, se encontraban con su bandeja de SMS llena de códigos de verificación procedentes de plataformas en las que jamás se habían registrado.
Afortunadamente Google ha actuado rápido y, según informan en Bleeping Computer, un portavoz de la compañía ha confirmado que la app ha sido retirada. De igual modo informan que también el desarrollador ha sido baneado para que no pueda subir nuevas aplicaciones a la tienda.
Vía | Bleeping Computer
Ver 1 comentarios