Actualización 17/02/2014:

Las 4 apps han sido eliminadas de Google Play. Pongo aquí el SHA1 de cada una de las apps maliciosas en caso de que algún investigador los necesite:

b83a180a92fb706e6f120f36cca6ddc43670d55c

fce9824f02f6bfb57c685d85a43d4c5c051cc498

af9429cf93a2a569da72c30bf52e0305d95bb7e8

e8868f6b3e4dd76367840214d881873ec42705a6

************************************

Nuestro equipo de Panda Mobile Security ha encontrado una nueva amenaza que ha infectado al menos a 300.000 usuarios, aunque ese número podría ser 4 veces más alto, llegando a 1.200.000. Todas estas aplicaciones maliciosas se pueden descargar desde Google Play:

2431

 

 

 

 

 

 

 

¿Cómo es possible que se permitan aplicaciones maliciosas aquí? Bueno, a decir verdad no es la primera vez que todo tipo de malware es capaz de pasar todos los filtros y ser publicada en la tienda oficial. Sin embargo, creo que este caso podría ser algo diferente y podrían quedarse durante una larga temporada en Google Play… primero dejadme contaros cómo funciona y cómo roba tu dinero.

Vamos a coger uno de ellos, “Dietas para reducir el abdomen”. Una vez instalas la aplicación, la abres y aparece una pantalla de carga:

abdomen_presentacion

A continuación muestra esta pantalla:

abdomen_presentacion_2
Al pinchar en “Siguiente” te ofrece acceder a una de las dietas:

abdomen_presentacion_3

Es dificil ver la X que está en la esquina superior derecha… quieren asegurarse de que pulsemos sobre “Entrar”. Al hacer click un nuevo mensaje aparece encima de esta última pantalla:

abdomen_terminos_condiciones

Aquí nos pide aceptar los términos para poder ver la dieta. Pero si nos fijamos bien en la pantalla, podemos ver lo siguiente: debajo de este nuevo mensaje sigue por debajo la pantalla anterior, sin embargo hay una “pequeña” diferencia, si miramos justo debajo del botón de “Entrar” veremos unas líneas de color gris que antes no estaba ahí, se trata de un texto completamente ilegible. Vamos a hacer zoom para ver qué dice:

zoom

Se trata de los terminos de servicio con los que supuestamente estamos de acuerdo si pinchamos en “Aceptar”, donde nos dicen que nos van a suscribir a un servicio para obtener contenidos exclusivos para nuestro teléfono móvil. Por supuesto este mensaje es completamente ilegible en su tamaño y forma originales.

Una vez aceptas los terminos  y condiciones del servicio y pulsas sobre “Entrar” suceden dos cosas diferentes:

–          El usuario verá una serie de recomendaciones para reducir su abdomen.

–          Sin conocimiento del usuario la aplicación buscará el número de teléfono del dispositivo, irá a una página web donde lo registrará a un servicio de SMS Premium. El servicio requiere una confirmación para ser activado, lo que significa que manda un SMS a ese número con un código PIN, que tiene que ser introducido en la web para finalizar el proceso y comenzar a cobrarte dinero. Esta aplicación espera a ese mensaje en concreto, una vez llega lo intercepta, lo lee para obtener el código PIN y vuelve a la página web para introducirlo y confirmar tu suscripción al servicio. A continuación elimina el mensaje, sin que se muestre en ningún momento notificación alguna en el terminal, como si ese SMS nunca hubiese existido. Repito, todo esto es realizado sin conocimiento del usuario.

Merece la pena mencionar cómo se hace con el número de teléfono del móvil para suscribirnos a este servicio. El modo “normal” de que una app haga esto es coger este número de la tarjeta SIM -hay una función del Sistema Operativo que permite hacer esto- sin embargo cada vez hay más proveedores que no lo almacenan allí como una medida preventiva de seguridad. Para evitarse problemas esta app lo que hace es “robar” el número de una de las aplicaciones de móvil más populares del mundo: WhatsApp. Como seguramente recordarás, una vez que abres WhatsApp por primera vez te solicita el nº de teléfono. La popular aplicación de mensajería lo guarda como parte de los datos para la sincronización de la cuenta:

whatsapp

 

Por los datos que facilita Google Play esta aplicación tiene entre 50.000 y 100.000 descargas. Las otras que he mencionado anteriormente hacer exactamente lo mismo. Si añadimos las descargas de las cuatro aplicaciones, hay entre 300.000 y 1.200.000 descargas de todas ellas. Dos fueron publicadas en diciembre de 2013 y las otras dos en enero de 201, así que el número de descargas que han conseguido es realmente impresionante. Echando un vistazo a los comentarios realizados por algunos usuarios, parece que muchos de ellos las están instalando porque te dan créditos / fichas en algunos juegos por instalar estas aplicaciones fraudulentas.

Cobran mucho dinero por este tipo de servicios premium, si hacemos una estimación conservadora de 20€ pagados por cada terminal, estamos hablando de una estafa enorme que podría estar entre los 6 y los 24 millones de euros.

PandaPanda Mobile Security detecta esta amenaza, pero aunque esté bien nada impide que mañana encontremos cientos de aplicaciones que exhiban el mismo comportamiento y que no sean detectadas por ningún producto antivirus. ¿Qué podemos hacer entonces para protegernos? Si ya eres usuario de Panda Mobile Security, conocerás la funcionalidad “Auditor de privacidad”. Si accedes a esta funcionalidad de nuestro producto, cualquier aplicación con permisos para comportarse de esta forma maliciosa y peligrosa será clasificada dentro de la categoría “Cuesta dinero” y podrá ser eliminada desde allí. Importante, esto no significa que todas las aplicaciones que estén dentro de esta categoría sean maliciosas, podéis ver como las apps de Facebook o WhatApp están ahí y yo no las calificaría de maliciosas. Cualquier aplicación que tengo permisos suficientes como para comportarse de la forma aquí descrita estará en esta categoría: si ves una aplicación que has instalado y no debería tener dichos permisos elimínala directamente.

privacy_auditor_cost_money_es

Y sea cual sea la solución de seguridad que utilices –si es que usas alguna- por favor lee siempre los permisos necesarios que se muestran antes de instalar cada aplicación y si entre ellos se encuentran los de conectarse a internet y permitir a la app que lea tus SMS y no es realmente necesario, no la instales.

Como dije al principio, estas aplicaciones podrían permanecer en Google Play durante tiempo ya que de hecho el usuario tiene que aceptar los términos de servicio, así que podrían tener una defensa legal hasta cierto punto. En cualquier caso no suficiente defensa para evitar que Panda Mobile Security las detecte y elimine, eso es seguro.