Anuncios en redes sociales y clones de Google Play, lo último en malware Android

No es la primera vez que os advertimos por aquí del cuidado que hay que tener con todas las aplicaciones que instalas en tu teléfono (especialmente si usas Android), ya que pueden generarte una desagradable sorpresa a final de mes. Cada vez es más frecuente encontrarse con casos de malware que suscriben automáticamente tu teléfono a un servicio premium que cobra por cada SMS recibido.

Android KitKat ha introducido mejoras y limitaciones al respecto, impidiendo que una app pueda borrar un SMS sin permiso (algo que hacían estas apps maliciosas para no dejar rastro). Sin embargo, el malware no ha tardado en adaptarse, como veremos a continuación. Además, aprovechan las características de los teléfonos (pantalla más pequeña e incómodo leer) y la publicidad en redes sociales para captar potenciales víctimas.

Antes de entrar en materia, un breve recordatorio de cómo operaba este tipo de malware para móviles: te descargas una aplicación y ésta detecta tu número de teléfono (gracias habitualmente a apps de mensajería que ayudan sin saberlo). Desde él, envía un aviso a una web de suscripción de SMS premium que, a su vez, envía al teléfono en cuestión un SMS para confirmar la suscripción.

Los desarrolladores de apps maliciosas aprovechan las aplicaciones genuinas y las clonan introduciéndoles troyanos que permiten suscribir el teléfono donde se han instalado a SMS premium. Facturaza al canto

Como Android permite la lectura automática de SMS, la app maliciosa detecta que se ha recibido una petición de confirmación, acepta la suscripción y borra el SMS para que no quede rastro antes incluso de que se genere la notificación. Después, con cada SMS recibido, se procede a su borrado automático para que el usuario no se de cuenta hasta final de mes de que está pagando más de 1 euro por cada mensaje que recibe sin haberlo solicitado. Hasta aquí, por desgracia, nada nuevo, y es que hay muchos casos similares de apps camufladas en Google Play. Pero ¿y fuera de Google Play?

Un vistazo a…
FACEBOOK guarda un registro de TODAS las WEBS que visitas así puedes DESACTIVARLO

Otra moda: suplantar a Google Play para distribuir malware

Ejemplo de anuncios de apps maliciosas en Facebook

Hace poco asistimos a una conferencia impartida por Luis Corrons, director técnico de Panda Security, en la que nos hablaba de varios casos recientes donde los estafadores habían ido mucho más allá. Como este tipo de apps maliciosas pueden tener una corta vida en Google Play, ¿por qué no llevárselas fuera de la tienda oficial de Google?

Sí, sé lo que estáis pensando: ¿cómo hacer entonces que la gente se las instale? Muy sencillo: desde Panda detectaron que hay empresas contratando anuncios en Facebook y segmentándolos para que únicamente lleguen a usuarios españoles con un móvil Android y, por supuesto, para que únicamente puedan ser leídos desde un smartphone. Sí, todo esto es posible con la publicidad personalizada de Facebook.

A dichos usuarios se les muestra un anuncio de una app (por ejemplo, una sobre trucos de WhatsApp, que están tan de moda y que fue la que nos enseñaron en la conferencia). Si haces click sobre ella, automáticamente te lleva a algo que parece Google Play pero... no lo es. Al igual que hay phishing e intentos de suplantación de webs de bancos u otras páginas populares, también lo están haciendo con Google Play.

Cuidado: algunos malware para Android intentan simular la tienda Google Play para "colarte" apps maliciosas

La falsificación de Google Play es fácil de detectar: hay algunos fallos en el diseño, las puntuaciones no se corresponden (de nuevo, si seguimos con el ejemplo que nos ofrecieron, decía que la media de nota de una app era 4,5 y en las estrellas tan sólo aparecían 3,5) y varios detallitos más. Detalles que un ojo entrenado verá fácilmente pero que un usuario no experto en móviles posiblemente no detectaría de forma tan obvia.

Android KitKat mejora en seguridad, pero sigue siendo vulnerable

Apps de una empresa española que utiliza esta vulnerabilidad para aprovecharse de los incautos

Como decíamos antes, Android KitKat introdujo mejoras significativas a la hora de gestionar los SMS, ofreciendo ciertos permisos (como el de borrar) únicamente a la app asignada por defecto. Con Android KitKat esto cambia y el malware no puede borrar los SMS. ¿Cómo hacer entonces que el usuario final no se de cuenta?

Pues atentos a la solución que buscaron y que nos contaba Corrons: la app maliciosa pone el móvil en silencio durante 2 segundos cada vez que recibe un SMS. Acto seguido, marca el SMS como leído. De esta forma el usuario no se enteraría de que ha recibido nada a menos que en esos mismos instantes estuviera frente a su teléfono. Ingenioso, ¿verdad?

Conclusión: siempre precaución

En definitiva: si algo nos enseñan estos casos es que los estafadores que utilizan malware para aprovecharse de los móviles de los más incautos no dejan de adaptarse a las nuevas restricciones que se van imponiendo. ¿Que Google Play vigila más? Entonces hagamos un fake de Google Play. ¿Que Android KitKat introduce limitaciones? Busquemos la forma de saltarlas.

Desconfía de las apps que no conoces y "pasa" de todas esas que ofrecen trucos o dietas milagrosas

¿Cómo evitar ser engañado? Teniendo un poco de ojo y, sobre todo, desconfiando de aplicaciones que no conoces y cuyos desarrolladores no son de fiar. Olvídate de todas esas apps de trucos de WhatsApp, dietas milagrosas y compañías. Fíjate también en los comentarios de otros usuarios aunque recuerda que estos se pueden falsear con reviews generadas masivamente. Resumiendo: cuidadito con lo que instalas. Y ojo, porque aunque Android es del sistema operativo que más se habla respecto al malware, en el pasado ya se ha demostrado que en casos excepcionales puede incluso afectar a iOS.

Imagen | Rob Bulmahn
En Xataka Móvil | Por qué tus SMS aún importan... y hay quien los quiere leer

Ver todos los comentarios en https://www.xatakamovil.com

VER 47 Comentarios

Portada de Xataka Móvil