Los investigadores descubrieron recientemente una aplicación maliciosa de Android que convierte los dispositivos en repetidores de SMS que se utilizan para verificar varias cuentas en Internet.
En el momento de la publicación, la aplicación tiene más de 100.000 descargas en Google Play Store y aún se puede descargar.
A menudo, cuando las personas crean cuentas en línea, necesitan verificar sus identidades a través de sus teléfonos móviles y confirmar que no son bots o usuarios que envían spam a la creación de cuentas. Los usuarios comparten sus números de teléfono y se les envía un código de acceso único (OTP) que verifica su identidad.
Aplicaciones de SMS falsos
Para aquellos que buscan mantener el seudónimo en línea, poder crear cuentas en línea sin tener que compartir sus números de teléfono suena atractivo, pero los métodos disponibles a menudo ponen en riesgo a personas inocentes.
El investigador Maxime Ingrao, de la empresa de soporte de ciberseguridad Evina, descubrió recientemente Symoo, una aplicación que se anuncia a sí misma como una «simple aplicación de SMS». En cambio, todo lo que hace es transmitir códigos OTP basados en SMS a usuarios anónimos, que pueden incluir actores de amenazas, para la creación de cuentas en otros lugares.
Cuando los usuarios instalan la aplicación, solicita permisos de SMS (lo que no debería generar alarmas, dado que se describe como una aplicación de SMS). Luego solicita el número de teléfono del usuario y, si lo proporciona, mostrará una pantalla de carga falsa que muestra una barra de progreso.
En segundo plano, pedirá a los operadores remotos que envíen múltiples mensajes SMS de autenticación de dos factores, ayudándolos a crear cuentas en diferentes servicios en línea. Una vez que se completa esta etapa, la aplicación se congela y parece no funcionar.
En realidad, Ingrao descubrió que Symoo comparte los datos de SMS extraídos con otra aplicación, llamada Número virtual, que ya no está disponible en Play Store.
Sin embargo, el desarrollador tiene una aplicación similar disponible, llamada «Activación PW – Números virtuales», que ofrece números de teléfono auténticos para ayudar a cualquier persona a crear cuentas. Por $0.50, los usuarios pueden obtener un número de teléfono y usarlo para verificar una cuenta a través de SMS. Esta aplicación tiene más de 10.000 descargas.
Aunque no hay nada intrínsecamente malo con un servicio de número virtual, incluso Google ofrece uno en forma de Google Voice. (se abre en una pestaña nueva)se recomienda a los usuarios que desinstalen esta aplicación en particular lo antes posible, para que no se conviertan en víctimas de fraude.
A través de BleepingEquipo (se abre en una pestaña nueva).