Los investigadores descubrieron recientemente una aplicación maliciosa de Android que convierte los dispositivos en repetidores de SMS que se utilizan para verificar varias cuentas en Internet.
En el momento de la publicación, la aplicación tiene más de 100 000 descargas en Google Play Store y todavía está disponible para su descarga.
A menudo, cuando las personas crean cuentas en línea, deben verificar su identidad a través de sus teléfonos celulares y confirmar que no son bots o usuarios que envían correo no deseado a la creación de la cuenta. Los usuarios comparten sus números de teléfono y reciben una contraseña de un solo uso (OTP) que verifica su identidad.
Aplicaciones de SMS falsas
Para aquellos que buscan permanecer en línea con seudónimo, poder crear cuentas en línea sin tener que compartir sus números de teléfono suena atractivo, pero los métodos disponibles a menudo ponen en riesgo a personas inocentes.
El investigador Maxime Ingrao, de la firma de soporte de seguridad cibernética Evina, descubrió recientemente Symoo, una aplicación que se anuncia a sí misma como una «simple aplicación de SMS». En cambio, todo lo que hace es transmitir códigos OTP basados en SMS a usuarios anónimos, que pueden incluir actores de amenazas, para la creación de cuentas en otros lugares.
Cuando los usuarios instalan la aplicación, solicita permisos de SMS (que no deberían activar ninguna alarma, dado que se describe como una aplicación de SMS). Luego solicita el número de teléfono del usuario y, si lo proporciona, mostrará una pantalla de carga falsa que muestra una barra de progreso.
En segundo plano, pedirá a los operadores remotos que envíen varios mensajes SMS de autenticación de dos factores, lo que les ayudará a crear cuentas en diferentes servicios en línea. Después de completar este paso, la aplicación se bloquea y parece no funcionar.
De hecho, Ingrao descubrió que Symoo comparte datos de SMS extraídos con otra aplicación, llamada Número virtual, que ya no está disponible en Play Store.
Sin embargo, el desarrollador tiene una aplicación similar disponible llamada «Activación PW – Números virtuales» que ofrece números de teléfono genuinos para ayudar a cualquier persona a crear cuentas. Por €0.50, los usuarios pueden ingresar un número de teléfono y usarlo para verificar una cuenta a través de SMS. Esta aplicación tiene más de 10.000 descargas.
Si bien no hay nada intrínsecamente malo con un servicio de número virtual, a pesar de que Google ofrece uno en forma de Google Voice (se abre en una pestaña nueva), se recomienda a los usuarios que desinstalen esta aplicación en particular lo antes posible, para que no se conviertan en víctimas de fraude. .
A través de BleepingComputer (se abre en una nueva pestaña).
