miércoles, marzo 05, 2014

Malware en Android usa WhatsApp, Telegram y ChatON para suscribir números de teléfono a sistemas SMS Premium

Hace ya algún tiempo que se publicó ya el artículo de la linterna molona para Android, un software malicioso que busca generar dinero mediante una estafa de suscripción de las víctimas a sistemas de envío de mensajes SMS Premium. El esquema de Fraude Online que utilizan los creadores de ese tipo de app maliciosa para Android consiste en conseguir ejecución de la app en un terminal, desde ahí localizar el número de teléfono de la víctima y suscribirlo a un programa de mensajes SMS Premium.

Para localizar el número de teléfono la linterna molona buscaba en la app de WhatsApp el número - una forma curiosa de espiar el WhatsApp de alguien - después vía web suscribía dicho número de teléfono, y cuando llegaba el SMS con el código de confirmación lo leía y lo utilizaba para confirmar la suscripción. Este esquema se ha replicado por muchas apps, y hasta se creó una app llamada STOP Estafas SMS Premium que evalúa los permisos que tiene cualquier app para bloquear todas aquellas que puedan ser similares a la linterna molona.

Figura 1: STOP Estafas SMS Premium

El laboratorio de Eleven Paths lleva tiempo mirando en detalle cómo el malware evoluciona en Google Play, de donde salieron todas las apps fraudulentas de WhatsApp, y un detallado estudió de cómo el Crapware vive por Google Play. En uno de los análisis ha aparecido esta app, llamada Cámara Visión Nocturna - actualmente viva y disponible en Google Play - que realiza la misma estafa que la linterna molona.

Figura 2: Otra app que estafa con SMS Premium

No hace falta ser muy listo para darse cuenta de que es una estafa, ya que con mirar los comentarios de la gente se puede ver que se dedica a suscribir a las víctimas a sistemas de mensajes SMS Premium, algo que debería ser suficiente para que no se la instalase nadie. Eso sí, los tipos detrás de la estafa con BlackSEO consiguen un 3.5 de valoración media en la app

Figura 3: Algunos comentarios de la app

Para montar el esquema de la estafa, la app utiliza el conocido BroadcastReceiver que tanto se explica en el libro de Desarrollo Seguro para Android, que es utilizado de forma habitual por el malware bancario, ya que permite acceder a los mensajes SMS en los que llegan los códigos OTP de confirmación de operaciones.

Figura 4: Busca el mensaje SMS con ese texto para hacer la suscripción

Lo curioso de este malware es que tiene en cuenta el despliegue masivo de Telegram y lo de moda que está entre todos los usuarios, y como hiciéramos nosotros con Telegram Anti-Delete Protection Tool para evitar que se borren los mensajes remotamente, han debido estudiar la app en detalle para sacar más partido a su estafa. En este caso, entre las víctimas de esta app maliciosa para Android, en una sección del código se puede ver cómo además de espiar WhatsApp hace uso de Telegram para buscar el número de teléfono de la víctima y así poder suscribirlo a la web de envío de mensajes SMS Premium. Por si no fuera poco el uso de Telegram, este malware también hace uso de ChatON de Samsung para localizar el número de teléfono de la víctima.

Figura 5: Esta app busca en WhatsApp, Telegram y ChatON el número de teléfono de la víctima

Al final, el mundo del malware para Android busca cualquier modelo de negocio, ya sea vendiendo troyanos para espiar Android, creando juegos para robar el WhatsApp o haciendo estafas SMS como la linterna molona. Lo que llama poderosamente la atención es que Google Play permita que esto pase, que meter crapware sea tan fácil como falsificar WhatsApp, o que incluso suban apps que pidan las cuentas de Apple para usar iMessage o directamente suplanten el software comercial de Apple en Google Play. Parece que algo hay que cambiar en las políticas de control de las apps que se publican.

Saludos Malignos! 

10 comentarios:

  1. En lo que un sistema comienza a ser usado vienen las aplicaciones malisiosas. Y esas aplicaciones la gente las instala y ejecuta confiado porque la gente es inocente de la real maldad que esconden.
    Es demasiado claro que no entiendo como han habido y todavía hay ilusos que creen que X sistemas son infalibles porque "son" Santo "Unix".

    ResponderEliminar
  2. Menos mal que uso Windows Phone, me preocupa mi madre que usa Android y utiliza aplicaciones bancarias.

    ResponderEliminar
  3. Buenos dias!
    Vaya tele marinera con google!
    La gente deberia empezar ha dar de baja targetas de credito y cancelar cuentas, esto ya se pasa de castaño oscuro, se merecen una campaña de desprestigio como la copa de un pino. Son demasiadas veces y con intervalos de tiempo muy corto, a diario vamos...pss! pa mear y no echar gota, y nadie hace nada? huy que turbioooooo... :-(

    Muchisisimas gracias por la info Chema! Y_(O.o)_Y

    PD: Mi colega se esta cagando en to...(risa maligna)

    ResponderEliminar
  4. Acabo de probar y curiosamente Whatsapp ya no usa en numero de telefono como nombre de cuenta sino simplemente "WhatsApp". Sin embargo telegram si que lo hace :(

    En el código que muestras hay un continue que impide que se coja el código de Telegram , pero se ve que están de pruebas.

    ResponderEliminar
  5. Por Dios y por España: ¿cuánto dedica usted, cada día, al noble oficio de la escritura? Qué poderío...

    ResponderEliminar
  6. Blackberry en este tema de permisos de aplicaciones de tercero lo hace bien desde hace muchos años. Permite granular que permisos das y cuales no a cada aplicación.

    Cuando busqué una linterna para mi móvil estuve un rato largo buscando una app que no pidiera permisos de acceso a Internet, se supone que una linterna no debería de acceder para nada a internet.

    La que instalé fue esta:
    https://play.google.com/store/apps/details?id=com.abt.simple.light

    ResponderEliminar
  7. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  8. Buenas, estoy modificando la aplicacion https://play.google.com/store/apps/details?id=es.cardenetedev.stopsmsscam para poder establecer aplicaciones confiables. Ya que salen facebook, whatsup, skype, etc por peticion de algunos usuarios podria excluirse...saludos

    ResponderEliminar
  9. una de las posibles soluciones seria, desactivar los servicios sms premium desde la web de la operadora movil entrando en su area de cliente,y un buen antimalware

    ResponderEliminar
  10. En el post de la "linterna molona" un Anónimo descubrio estos enlaces:

    http://www.clubmegaocio.com/callbacks/calls/calls_30102013.txt
    Con numeros de telefonos dados de alta.

    https://bitbucket.org/account/signin/?next=/virtualbay/clubmega.git
    Codigo fuente de la pagina con pass.
    http://www.clubmegaocio.com/.git/logs/HEAD se puede ver el correo que ultiliza el propeatario para aceder desde bitbucker.

    Aparecen algunos nombres de desarrolladores: Ese tipo J.T de VirtualBay no era cofundador de SeriesYonkis?

    Lo demas parecen id de los commits del reposotorio de Bitbucket, donde tendrán el codigo fuente de la pagina

    Puede que sean los que estan detras de todo esto.

    ResponderEliminar