Se ha descubierto una nueva app que, bajo la máscara de una aplicación de gestión de SMS, usa tu número de teléfono como nido para conseguir códigos de autenticación de dos factores y crear cuentas falsas con esos SMS maliciosos. Para dar una idea de la magnitud de las personas alcanzadas, ya tenía más de 100,000 descargas.
Esta vulnerabilidad ha sido descubierta por Maxime Ingrao, investigador de ciberseguridad en EvinaTech. Además de su peligro, se relaciona con otras aplicaciones maliciosas para producir todo un ecosistema de creación de cuentas falsas.
Esta app crea cuentas falsas vía SMS
Tras la instalación en el dispositivo, la aplicación Symoo solicita acceso para enviar y leer SMS, lo que suena normal ya que se comercializa como una aplicación de gestión de SMS «fácil de usar». En la primera pantalla, le pide al usuario que proporcione su número de teléfono y después de eso, se superpone a una pantalla de carga falsa que supuestamente muestra el progreso de la carga de recursos.
Sin embargo, este proceso se prolonga, lo que permite a los operadores remotos enviar múltiples mensajes SMS 2FA (autenticación de dos factores) para crear cuentas en varios servicios, leer su contenido y reenviarlo a los delincuentes.
Cuando se complete el proceso, se borrará automáticamente todo rastro, la aplicación se congelará y nunca llegará a la interfaz de SMS prometida, por lo que los usuarios normalmente la desinstalarán sin más pensando que no funciona y sin saber de lo que han sido víctimas.
En ese momento, la aplicación ya habrá utilizado los números de teléfono de los usuarios de Android para generar cuentas falsas en varias plataformas en línea e incluso algunos de los usuarios que han dejado sus comentarios de valoración en Play Store dicen que su bandeja de mensajes ahora está llena de códigos de acceso únicos para cuentas que nunca crearon.
Interconectada con otras apps de Play Store
Tener un número de teléfono válido en el que recibir un código de un solo uso es a menudo la única forma posible de verificar la creación de una nueva cuenta, las personas que desean participar en actividades ilegales o anónimas encuentran útiles estas cuentas anónimas creadas por aplicaciones de este tipo.
Además, Maxime Ingrao descubrió que la aplicación Symoo extrae datos de los SMS al dominio goomy[.]fun... Con una comprobación en VirusTotal, resulta que este dominio fue utilizado por una aplicación llamada VirtualNumber que estuvo en Google Play en algún momento, pero ya se eliminó de Play Store.
El desarrollador de la aplicación ‘Virtual Number’ también creó otra aplicación en Google Play llamada ‘ActivationPW – Números virtuales’, descargada 10,000 veces, que ofrece «números online de más de 200 países» que puede usar para crear una cuenta sin necesidad de introducir tu número de teléfono. Usando esta aplicación, los usuarios pueden «alquilar» un número de teléfono por menos de un dólar y, en muchos casos, usar ese número para verificar la cuenta. Parece que todo encaja...
Al momento de redactar esta noticia, la aplicación Symoo todavía sigue en Google Play Store. A pesar de los esfuerzos de Google, su Play Store de Android todavía sigue siendo un coladero para todo tipo de malware.
Aunque la tienda de aplicaciones sea vigilada cuidadosamente, los moderadores no siempre pueden detectar estas aplicaciones antes de que se publiquen, aunque tratarán de eliminar la amenaza lo antes posible. Esta aplicación ya ha sido reportada.
