Así estafa una app de Android

David Pérez el 29/01/2014 a las 18:21

android-malware

Habremos leído u oído muchísimas veces el argumento de que la seguridad en Android siempre está en entredicho: ya sea por el último malware creado, o por un fallo de seguridad, es uno de los argumentos más utilizados en contra del sistema operativo móvil.

La historia que os traemos hoy tiene que ver con una especie de estafa que se ha realizado hace poco: una aplicación de linterna que promete lo imposible, y viene con una desagradable sorpresa para los usuarios.

La historia comienza de la mano de José C. Agudo y Miguel Ángel Cardenete, dos desarrolladores que, llevados por la curiosidad, empezaron a trastear con el código de una aplicación de linterna que hace brillar el LED más que ninguna otra app de linterna y totalmente gratuita para averiguar cómo se suponía que lo hacía. Sin embargo, cuando empezaron a profundizar descubrieron que la aplicación venía con una desagradable sorpresa: lee tu número de teléfono, se conecta a Internet y te da de alta en un servicio de SMS premium, todo ello sin que te enteres.

El caso de la linterna molona

Android_linterna_1

El funcionamiento de la aplicación es sencillo: se promociona como linterna (y cumple con esa función), pero cuenta con un mecanismo que captura tu número de teléfono sin tener el permiso necesario. Al capturar tu número de teléfono, te suscribe a un servicio de mensajes premium, pero el sistema requiere de un código de verificación enviado por SMS que ha de ser introducido en una página web (un método que no es para nada seguro, pero eso lo veremos más adelante).

Una vez el proveedor envía ese código, la aplicación intercepta el código a través del permiso de leer SMS, y lo introduce en la página para confirmar tu suscripción al servicio. Y listo, nada más instalar la aplicación tienes un servicio de mensajes premium contratado a tu línea de teléfono.

¿Cómo se supone que lo hace?

Android_SMS_Estafa0

Averiguar cómo funciona la aplicación no es nada sencillo, ya que el reto aumenta al estar el código ofuscado utilizando Proguard. La aplicación dispone de los siguientes permisos:

<uses-permission android:name=”android.permission.CAMERA” />
<uses-permission android:name=”android.permission.WRITE_EXTERNAL_STORAGE” />
<uses-permission android:name=”android.permission.READ_SMS” />
<uses-permission android:name=”android.permission.INTERNET” />
<uses-permission android:name=”android.permission.READ_PHONE_STATE” />
<uses-permission android:name=”android.permission.RECEIVE_SMS” />
<uses-permission android:name=”android.permission.WRITE_SMS” />
<uses-permission android:name=”android.permission.ACCESS_NETWORK_STATE” />
<uses-permission android:name=”android.permission.ACCESS_WIFI_STATE” />
<uses-permission android:name=”android.permission.GET_ACCOUNTS” />

En ningún momento pide permiso para enviar mensajes SMS o llamar por teléfono, permiso que marca Android como “Esto puede comportar costes adiciones” (y podéis ver en la captura). Sin embargo, este aviso no sale con los permisos de leer mensajes SMS, cosa de la que se aprovecha esta aplicación.

Una vez está instalada, hace al usuario aceptar unos términos y condiciones del usuario (estos en concreto) junto con un texto en la pantalla que empieza con “Pulsando ACEPTAR enviarás el pin para proceder a la suscripción” , que se encuentra en la parte baja de la pantalla, a un tamaño mínimo y con el contraste visiblemente reducido. Podéis ver en la captura a lo que me refiero: a menos que te fijes, los términos son difíciles de ver.

Android_SMS_Estafa1

Cuando el usuario ha aceptado esos términos claramente abusivos, la aplicación ejecuta este código:

Account[] arrayOfAccount = AccountManager.get(this).getAccounts();
String numero=””;
for(int i=1;1<arrayOfAccount.length;i++){
Account localAccount = arrayOfAccount[i];
if (!localAccount.type.equals(“com.whatsapp”)) {
numero = localAccount.name;
}
}

La aplicación no tiene permisos para obtener el número de teléfono, pero parece que es capaz de saltarse esta limitación buscando una cuenta activa de WhatsApp (y para lo que sí tiene permiso concedido), algo que no parece muy difícil teniendo en cuenta el alcance de la conocida aplicación de mensajería. También se cree que puede utilizar otros métodos para acceder al número sin necesitar el permiso si el de arriba falla, aunque esto todavía esta por confirmar.

Ya tiene nuestro permiso y nuestro número de teléfono, y con esto solicita la suscripción al servicio Premium. Pero no es suficiente, ya que este tipo de servicios requiere de una verificación por parte del usuario a la operadora, que en este caso se realiza a través de un SMS que contiene un código que el usuario debe introducir en una página web. Para conseguir completar esta verificación, y utilizando el permiso de recibir los mensajes SMS, captura ese SMS de verificación, extrae el código correspondiente, y completa automáticamente la verificación en el formulario web dedicado a ello.

Con esto ya podríamos dar por concluida la estafa, pero la cosa no acaba aquí: si tienes la aplicación de Facebook instalada en tu Android, la aplicación publicará en tu perfil un post con publicidad sobre esta aplicación, lo cual hace mucho más rápida su distribución y aumenta su alcance considerablemente.

¿Todavía esta disponible la aplicación? ¿Como se si estoy afectado y como lo arreglo?

Linterna molona estafa descargas

Se podría decir que la aplicación esta y no esta disponible a la vez: mientras que fue retirada de Google Play por la propia Google después de alcanzar entre 10.000 y 50.000 descargas, la aplicación en mercados de aplicaciones como AppsZoom ha tardado mucho más en caer, llegando a conseguir entre 100.000 y 500.000 descargas.

La aplicación en sí cuenta con el identificador único de com.linterna.molona, así que es recomendable que revises el identificador de tus aplicaciones de linterna (sobre todo si has instalado alguna en los últimos días). De todas formas, los afectados se encontrarán en la factura de final de mes unos 30€ (media, puede ser mayor o menor a ese número) de gastos en servicios premium, un indicador bastante fiable para averiguar si estás afectado o no.

Si por desgracia te ha tocado, lo más aconsejable es que contactes con tu operadora para que te aconsejen sobre los pasos para salir de estos servicios, que pueden variar de caso a caso porque la aplicación esta hecha para cambiar de proveedores y enviar múltiples solicitudes a suscripciones. Esto hace que sea mucho más complicado de combatir. y que cada caso puede ser diferente.

¿En resumen?

El funcionamiento de esta aplicación de linterna molona se sostiene sobre cuatro pilares que revelan algunos fallos y cosas que podrían funcionar mejor:

  • Los operadores suelen tener los servicios premium activados por defecto, lo cual deja abierta la posibilidad a estafas como esta.
  • La web de activaciones es del todo insegura si deja que un bot registre números de forma automática y sin intervención del usuario
  • Los usuarios no son del todo conscientes de lo que significan los permisos de cada aplicación o lo que puede establecer el aceptar unos términos de usuario (que, aunque en este caso sean del todo abusivos, sirven para cubrirse las espaldas).
  • La aplicación es capaz de distribuirse a través de Facebook, lo cual contribuye a que más gente la utilice.

Lo que esta claro es que el programador en cuestión ha sido lo suficientemente listo como para embolsarse una buena cantidad de dinero (haced cuentas: 100.000-500.000 descargas a 30€ cada una…) a costa de los usuarios. Podéis leer información más técnica sobre la aplicación en el artículo original, cargado de código y explicaciones de cómo funciona cada aspecto de la estafa.

Aunque esto trate de una estafa reciente en concreto, probablemente es como estafen todas las aplicaciones de Android que pretenden hacerlo: pequeños trucos que se aprovechan del desconocimiento de los usuarios, o directamente de los usuarios que no leen los permisos antes de instalar o le dan un pequeño vistazo a lo que aceptan.

De todas formas, ya sabéis lo que os recomendamos desde aquí: leed los permisos de cualquier aplicación que pretendáis instalar, y si no estáis seguros pulsad a cancelar. Eso, un poco de sentido común y no pulsar aceptar a la ligera deberían de hacer el resto a la hora de manteneros alejados de todo este tipo de estafas.

Te puede interesar
  • Xavier Calva

    Primero, me parece increíble cómo los programadores buscan el más pequeño resquicio, para colarnos por ahí sus “creaciones”. Ojalá dedicaran su intelecto en mejores proyectos, que beneficien al conjunto, y no únicamente a sus malsanas ambiciones.

    Segundo, una prueba más de que Google debe refinar sus actuales protocolos de seguridad. Es cierto que parte de la responsabilidad la tiene el usuario, pero seamos honestos, y el gran conglomerado de personas allá afuera no tiene las más mínimas nociones de seguridad como para saber que una app les puede arruinar su experiencia en Android.
    Por ello es que Google debe ser un poco más restrictivo en cuanto a filtros, condiciones de uso de permisos por parte de las apps, etc.
    He visto apps de lo más simplonas, pero que prácticamente te piden hasta el grupo sanguíneo.

    • Gustavo Cárdenas

      Estoy de acuerdo, en parte, contigo. Es cierto que Google debería intervenir, pero no hasta ese punto. A lo que voy es que la solución la tenemos nosotros, si cualquiera de nosotros le ponen un papel en frente y le piden que lo firme, si éste tiene muchas letras, normalmente lo hacemos sin pensar… Pero esa fue nuestra decisión, no la del programador o la de Google. Lo que sí debería de hacer es no permitir esas “letras pequeñas” sino que deberían de estar en negritas, mayúsculas, subrayadas, gigantes… y si las pueden poner a bailar mejor. El punto es que debemos leer y no solo aceptar por aceptar y junto con eso, nosotros deberíamos decidir que permisos dar y que permisos NO dar, no ellos.

      • Carlos Javier

        A lo mejor se debería de exigir que los términos y condiciones estén en una ventana que haya que desplazar completamente para poder aceptarlos. Y lógicamente nada de poner texto en una letra minúscula y sin apenas contraste, que una persona normal no puede casi leerla (y debería ser legible para una persona con problemas visuales).

        • Gustavo Cárdenas

          qué se siente saber que Google te hizo caso +Carlos Javier

    • Jorge Luis Rincon Suarez

      hay algo que muchas personas de este tipo no tienen en cuenta, si te dedicas a hacer una buena app, puedes conseguir mucho dinero, pero prefieren cometer estupideces y j**** a los demas usuarios por gusto. “comida para hoy, hambre para mañana”

  • Humberto Hernandez

    Ahora leer los permisos no es suficiente X_X

    Igual, AppOps a donde sea.

    • Ing Alberth Hernández

      appops hace lo mismo?
      cual es el bueno apps “permiso de administrador” manager permission ?

  • Adrián Madueño

    La verdad es que es una estafa muy presente en los actuales smartphones. La mejor solución es desactivar los servicios premium con el operador. Respecto a que la web de registro es insegura… normal, supongo que serán ellos mismos los que crearan estas apps que te registran automaticamente, no van a bloquearlas.

    • Carlos Javier

      Además de que se puede hacer una trampa: si el servidor de la página web detecta que se está usando un navegador, podría mostrar una página “segura” que por ejemplo pida también un captcha para completar el registro, y si detecta que quien se conecta es el programita de marras podría facilitar el registro sin dicho captcha. De esta forma, si alguien intenta comprobar la página ve que es legal.

  • Gabri

    Por eso yo leo los permisos antes de instalar nada

    • Joserr

      En este caso no pedía permisos, los sacaba por otro lado.

      • Carlos Javier

        Creo que por lo que dice, sí que pedía algún permiso, concretamente para leer SMS y seguramente para acceder a las cuentas de otras aplicaciones.

        • David Pérez

          Efectivamente, pide los permisos de leer SMS además de acceder a las cuentas registradas del dispositivo.

  • Ferru

    Menuda banda de ladrones.

  • miguelpedregosa

    Yo creo que Google debería poner alguna de especie de programa donde los creadores puedan solicitar las verificación de sus aplicaciones de forma manual y que dichos programas aparezcan marcados de alguna forma en el Play Store, como un sello de calidad de que un humano ha revisado la aplicación y cumple lo que promete.

  • ShengCho

    No entiendo como en pleno siglo XXI requieres una app para acceder a la linterna de un smartphone ¿Porque los fabricantes no brindan esta facilidad nativamente en el dispositivo? Yo tengo un nokia 1100: pulsas un botón un par de veces y se hizo la luz. Sin bichos, puro y natural.

    • Carlos Javier

      También tienes tú razón. En mi caso, mi móvil no tiene linterna y sólo se puede simular poniendo la pantalla blanca y el brillo al máximo, pero el launcher que tengo incorpora un widget que hace precisamente eso para usar el móvil de linterna, y aunque quizá no alumbre tanto como un flash de la cámara de un móvil, pero hace su papel si me pilla en un aprieto, ya que si sé que voy a necesitar linterna llevo una de verdad.

  • Juan Rived

    Hijos de p***a

  • Juan Rived

    Hijos de p***a

  • Chemita

    Se agradecen este tipo de artículos!

  • Eltiocalavera

    vamos si es una app de lampara, porque debería aceptar condiciones de uso? es una estupidez, es solo algo de sentido común, si vez ese jodido recuadro no den rápido aceptar, ES UNA JODIDA APP DE LAMPARA, no es otra cosa como para aceptar condiciones de uso y mas si vez al final un cuadro rojo, que aunque sea muy difícil de leer, yo ni loco doy aceptar viendo abajo unas letras ultra pequeñas, mejor leo lo mas que pueda, aunque bueno estos que la descargaron cayeron en la novatada, mal mal mal

  • Había una app de láser y había unas criticas graciosas.

LG Nexus 5X - Smartphone libre de 5.2" (2 GB de RAM, 16 GB de memoria interna, Android) color blanco
Precio oferta
245,00 €