Los ciberdelincuentes siempre tratan de llamar la atención de la gente de cara a perpetrar sus crímenes. Es por esto que no debería sorprendernos cómo utilizan Facebook (la mayor red social del mundo), WhatsApp (el principal programa de mensajería de móviles, recientemente adquirido por Facebook) y Android (el sistema operativo de móviles con mayor cuota de mercado) de forma conjunta para robar dinero a los usuarios.
El grupo detrás de este caso contrata publicidad en Facebook para atraer a víctimas y conseguir engañarlas para que instalen sus aplicaciones. Cuando estás navegando desde tu móvil Android por Facebook, te aparece en el muro de la red social una “Publicación sugerida” (manera sutil que tiene Facebook de llamar a la publicidad) anunciando utilidades para Whatsapp:
Como podemos ver, no sólo se utilizan plataformas populares, sino que se apela a la curiosidad del usuario al invitarle a descubrir cómo puede ver las conversaciones de sus contactos. Podemos ver que además tiene mucho éxito fijándonos en los “Me gusta” y en la cantidad de comentarios que viene. Sin embargo no es el único reclamo que han utilizado. A continuación podemos ver otro de los anuncios publicados donde prometen una aplicación para que la gente no pueda ver tu estado de conexión en WhatsApp:
Facebook permite realizar publicidad segmentada: es decir, si eres un anunciante puedes configurar a qué tipo de usuarios quieres que se les muestre la publicidad, dónde (en el lateral derecho, como “publicación sugerida”, etc. En este caso todo apunta a que se trata de publicidad que se muestra únicamente a visitantes de Facebook españoles que acceden a la red social a través del navegador de su móvil Android, ya que es el tipo de víctimas que los ciberdelincuentes envueltos en esta trama están buscando. De hecho en este caso hemos comprobado cómo efectivamente es así: las capturas están tomadas desde una cuenta de Facebook española a través de un móvil Android. Hemos probado con esa misma cuenta pero desde un PC, un iPad y un iPhone y en ninguno de estos casos se mostraba esta publicidad.
Si pinchas sobre la imagen que hemos mostrado en cualquiera de las publicidades que os hemos enseñado, eres redirigido aquí:
Como cualquier usuario de Android puede ver, se trata de Google Play, concretamente de la página de una aplicación que nos da la opción de instalarla, con más de 1 millón de descargas y valorada por los usuarios con 3’5 estrellas sobre un total de 5. Si bajamos vemos que hay una gran cantidad de comentarios positivos sobre la aplicación, y nos muestra los votos de más de 35.000 usuarios que la han puntuado:
Si somos un poco suspicaces, podemos darnos cuenta de que hay algunas cosas que no cuadran del todo:
– Nos aparece que la aplicación tiene una puntuación media de 4,5 estrellas, sin embargo si vemos el dibujo tiene 3,5 estrellas:
– Vemos que han calculado la puntuación en base a los votos de 35.239 usuarios. Sin embargo si sumamos el nº de votos que nos aparece a la derecha, podemos comprobar que suman 44.060 votos:
¿Cómo es posible que esté sucediendo esto en Google Play? Como algunos os habréis imaginado, esto puede suceder porque no se trata de Google Play. Realmente estamos en una página web diseñada a la imagen y semejanza de la Play Store, de tal forma que el usuario piense que está en un sitio de confianza. La barra de direcciones del navegador, tal y como se puede apreciar en las capturas que hemos incluido, permanece oculta en todo momento. Si pinchamos sobre el botón de “Instalar” se nos descargará un fichero con nombre “whatsapp.apk”.
Al ejecutar esta aplicación, nos mostrará la siguiente pantalla:
Si nos fijamos un poco en la imagen, veremos que hay algún tipo de texto (completamente ilegible) debajo del botón “continuar”. Hagamos un poco de zoom para ver si podemos llegar a leer lo que dice:
De forma similar al caso que revelamos hace unos días muestra una serie de condiciones sobre la suscripción a un servicio de SMS Premium. Al pinchar a continuar lo único que hace (de forma visible) es abrir una página web que efectivamente contiene consejos sobre WhatsApp, aunque en ningún momento ofrecen nada parecido a lo que anunciaban (donde decían que podías averiguar cómo ver las conversaciones de tus amigos en WhatsApp).
El peligro está en lo que hace pero no vemos: en primer lugar recorre el listado de cuentas de usuario registradas en busca de la perteneciente a WhatsApp. Una vez localizada extrae el nº de teléfono de la misma. Si WhatsApp no se encuentra instalado o falla a la hora de obtener el número, usará una API de acceso a servicios del sistema para conseguir la información.
A continuación escoge de manera aleatoria uno de los siguientes números:
797024
795964
797025
Lo que está haciendo es seleccionar a cuál de estos 3 servicios SMS Premium nos va a suscribir. En función del servicio que salga seleccionado cambiará el texto de las condiciones del servicio (el texto ilegible que aparece cuando abrimos la aplicación y nos aparece el botón de continuar). En este texto aparecen (dependiendo del nº seleccionado) una de estas 2 empresas:
LINEAS DE RED INTELIGENTE S.L
MICAMOSA MON DE SERVEI, SLU
A continuación instala un receptor de SMS para gestionar los mensajes de texto recibidos. Es de destacar la técnica que utiliza para evitar que el usuario se dé cuenta de la recepción de mensajes de texto que tenga como remitente alguno de los 3 números que hemos mencionado. Si todo va bien el receptor de SMS desechará los mensajes sin que el usuario pueda verlos, pero si hay algún fallo recurre a una ingeniosa técnica para tratar de pasar desapercibido: silencia durante 2 segundos el volumen del teléfono, de tal forma que el usuario no pueda oír la notificación, y a continuación marcará el mensaje como leído.
Aunque el receptor de SMS tiene mayor prioridad que el controlador de mensajes del sistema operativo, por las pruebas que hemos realizado parece que en la versión más reciente de Android (4.4) no consigue el control y los mensajes no son filtrados, llegando al terminal, momento en el cual entra en juego este plan B ideado por los ciberdelincuentes. En versiones anteriores de Android no necesita llevar a cabo este truco ya que consigue interceptar los mensajes y eliminarlos antes de que sean mostrados en el terminal.
La aplicación lleva un contador de los SMS, de tal forma que cuando llega el primer mensaje del servicio SMS Premium, lo lee para obtener el PIN necesario, y lo registra en la página web correspondiente de confirmación para activar el servicio de mensajes de pago.
Otra curiosidad que nos hemos encontrado es que oculta los mensajes cuyo remitente sea el nº 22365. Hemos investigado y dicho número pertenece también a servicios de SMS Premium. Todo parece apuntar a que están tratando de sabotear a la competencia, de tal forma que si el usuario tratara de registrarse al servicio ofrecido por este número -o si un troyano tratara de hacer algo parecido a lo que hace esta aplicación que estamos analizando- impide que tenga acceso al mensaje, por lo que no podrá acceder al PIN y activar el servicio. Resulta que la operadora Orange envía un aviso a los usuarios que se suscriben a un servicio de pago, y lo que está haciendo el troyano es interceptar dichos mensajes (cuyo remitente es el nº 22365) para que el usuario no los pueda ver.
Volviendo a la parte “visible” de la aplicación, una vez pulsamos el botón de “Continuar” nos muestra los supuestos trucos para WhatsApp:
Como vemos en el listado completo de los mismos, no tienen absolutamente nada de particular y tampoco se pueden considerar trucos:
- Cómo saber si nos han bloqueado
- Cómo bloquear un contacto
- Cambia tu estado
- Envía mucho más que mensajes
- Cambiar tu foto de perfil
- Crear accesos directos a conversaciones
- Usar Intro para enviar mensajes
- Hacer una copia de seguridad de tus conversaciones
- Guardar las fotos que te envían
- Cambiar el fondo de la conversación
- Enviar el historial de conversaciones a alguien
De hecho todos estos “trucos” son accesibles sin problemas desde la página donde están alojadas las aplicaciones, y sin necesidad de suscribirse a un servicio Premium. Si vamos a la página web principal, descubrimos que no sólo utilizan WhatsApp como reclamo, sino que van a por cualquier temática que pueda resultar popular:
Y la forma de actuar es idéntica. Nos lleva a una tienda falsa que simula ser Google Play, para que descarguemos la aplicación correspondiente, que tiene la misma funcionalidad oculta que la descrita en este artículo:
Si nos fijamos, reutilizan parte de los datos que tenía la anterior (puntuación, descargas, y número de votos) aunque los comentarios sí que están personalizados:
Para finalizar, recordar a los usuarios de Panda Mobile Security que a través de la funcionalidad “Auditor de privacidad” pueden comprobar que este tipo de aplicaciones están clasificadas dentro de la categoría “Cuesta dinero” y podrá ser eliminada desde allí. Recordamos también que esto no significa que todas las aplicaciones que estén dentro de esta categoría sean maliciosas: cualquier aplicación que tenga permisos suficientes como para comportarse de la forma aquí descrita estará en esta categoría; si ves una aplicación que has instalado y no debería tener dichos permisos elimínala directamente.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
4 comments