miércoles, febrero 18, 2015

JSDialers: Apps para Android "made in Spain" que llaman a números de pago "806" en Google Play

Ayer por la tarde, desde Eleven Paths os alertábamos de un nuevo grupo de apps para Android publicadas en Google Play que están estafando a usuarios en por medio de llamadas realizadas a números de pago "806". Hoy por la mañana aún sigue viva alguna de estas apps, así que hay que tener mucho cuidado con ellas, esto es como funcionan.

Figura 1: JSDialers, apps para Android "made in Spain" que llama a números de pago 806


En el análisis realizado desde Eleven Paths se puede ver como un grupo de 8 apps están haciendo uso de la librería Cordova de Apache que permite acceder a las funciones de los teléfonos mediante JavaScript y por lo tanto a realizar también las llamadas de teléfono, pero intentando ocultar este hecho por medio de una webview. El uso de estas librerías y este esquema ha permitido que algunas apps todavía se le cuelen a Google Play y por eso las hemos llamado JSDialers.

Figura 2: Llamada de teléfono a un número 806 que se le pasará como argumento

Las apps utilizadas en este negocio de llamadas a números 806 están ligadas a una empresa de Valencia que aparece en las condiciones de las apps, donde además se avisa a los usuarios de que pueden hacer hasta 30 minutos al mes de llamadas a ese número de teléfono. Técnicas muy del viejo estilo utilizadas por los amigos del Fraude Online.

Figura 3: Condiciones de la app con datos de la empresa y costes

Para colarse a Google Play, y que duren más tiempo, algunas de las apps han sido apps Gremlins que han mutado, lo que parece ser ya una práctica más que habitual tal y como se ha visto en los últimos casos como en el de las apps dedicadas al click fraud que detectamos hace poco.

Figura 4: Una de las apps antes simulaba ser "algo" de coches en japonés.

La lista de las apps las hemos descubierto utilizando nuestra plataforma de investigación Path 5, y como podéis ver de momento se han detectado 8 apps que hacen uso de este esquema y están publicadas bajo diferentes cuentas de desarrolladores, ninguna de ellas ligada al servicio de la empresa que tarifica las llamadas. Algunas de ellas, aún están activa en Google Play por si quieres analizarla.

Figura 5: Lista de apps de la misma familia descubiertas en Path 5

En el código fuente de algunas apps, como la analizada en el artículo de el blog de Eleven Paths se puede ver cómo se compone la llamada de teléfono y cómo se realiza la llamada.


Figura 6: Número de teléfono 806 al que está llamando esta app

Si tienes alguna de estas apps en tu sistema elimínala cuanto antes. Si tienes un MDM en tu empresa protege contra la instalación de estas apps y si te han llegado cargos a tu factura de teléfono y tenías alguna de estas apps ya sabes por qué puede haber sido. Recuerda que los teléfonos se pueden bloquear para que nunca realicen este tipo de llamadas a números de pago y que si eres amigo de markets como Mobogenie, este tipo de apps puede seguir viva por allí.

Saludos Malignos!

8 comentarios:

Anónimo dijo...

Yo tuve una mala experiencia con Facebook, un anuncio me llevó a algo muy similar con un iphone 5.
No entiendo por qué las operadoras de telefonía no bloquean por defecto todos los servicios premium. Quien quiera tenerlos que tenga que llamar para activarlos. Las operadoras ganan y los creadores de apps maliciosas también.

Jaime Chiquita dijo...

Excelente informacion. GRACIAS

Anónimo dijo...

Desde los 90 cuando tenia mi expectrum 128 ks hasta el 95 trasteando con ordenadores tube una pausa de 5 años y ya en el 2000 con un Emachines de sobre mesa con XP al contratar la linea con telefonica lo primero que hice fue eso, restringir las llamadas a ese tipo de numero, en ese entonces ya savia de estas artimañas, hoy en dia peor pero entonces lo que ocurria era que al visitar paginas infectadas, lo mismo que se te descarga un boot y si esta bien echo ni te enteras, entras a formar parte de una botnet claro esta, pues lo que ocurria es que te aparecia un icono en el escritorio y la gente que hacia? A la y esto? clicaba y empezaba a contar por segundos como un modem y luego la mega factura, hasta creo que las compañias de telecomunicaciones mas pioneras sacaban tajada de asunto, ahora con los moviles los ciberdelincuentes lo tienen chupao, cuidadin cuidadin...

Saludos!

Anónimo dijo...

Anonimo primero, las compañias se llevan entre el 30% y el 50% de la facturacion de los timos. Cuando llamas para protestar, no te hacen ninguna pregunta ni se cuestionan nada porque saben perfectamente de que va el tema.

Anónimo dijo...

Jesús Jonathan Novel... arranca para el colegio ya !!!

Anónimo dijo...

@Anónimo, por que master? especifica pero con tu nombre no anónimamente valiente!

jcesar dijo...

Lo que no entiendo es por que parece que le echáis la culpa a cordova, ya que aunque la llamada "se hace" desde javascript, ese javascript no hace nada mas que ejecutar un código java que hace la llamada de verdad

Anónimo dijo...

@Anónimo del 19/2/15 9:48 a. m.

Como veo que no conestas, te daré mi respuesta, lo que deberías de hacer es limitarte a comentar el articulo que es de lo que se trata y no a criticar a los lectores del mismo de forma "anónima"

Perdonen las faltas de ortografía, nadie es perfecto, aunque hay correctores online que hacem milagros, lo tendre en cuenca, gracias ;-)

PD: Canario tenias que ser, no?

Saludos!

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares