Un editor de fotos muy peculiar

24 Jun 2019

Cada vez que hablamos de la seguridad de Android, siempre recomendamos que solo se descarguen las aplicaciones desde la Google Play Store, ya que contiene muchas menos aplicaciones maliciosas en comparación con otras plataformas. Aun así, de vez en cuando los desarrolladores se las arreglan para introducir malware, por lo que la duda es: ¿cómo evitamos descargar una aplicación peligrosa desde Google Play? Presta mucha atención a los permisos que te solicita la aplicación y sopesa los motivos por los que los necesita antes de aceptarlos (o rechazarlos). En la entrada de hoy tratamos este problema: los peligros que suponen las aplicaciones de Google Play que solicitan permisos que parecen innecesarios.

No hace mucho, descubrimos un par de programas nada seguros en Google Play que se hacían pasar por aplicaciones de fotografía. Ambas aplicaciones estuvieron en la tienda lo bastante como para acumular 10.000 descargas cada una. En ellas, nada llamaba particularmente la atención; tan solo eran un “un editor de fotos más”.

Dos editores de fotos casi idénticos, supuestamente de desarrolladores diferentes, que te activan una suscripción de pago.

 

El único detalle que habría alarmado al usuario observador consistía en que las aplicaciones no dejaban de solicitar una y otra vez el acceso a las notificaciones y no aceptaban una negativa como respuesta. Todos los mensajes entrantes aparecen en las notificaciones, lo que significa que los editores de foto, si tenían permiso, podían leerlos. Pero un editor de foto no necesita dicho acceso; normalmente, dicha opción es para comunicarse con un smartwatch. Entonces, ¿por qué lo iban a solicitar?

Tras la instalación, el supuesto editor de fotos recopilaba la información (número de teléfono, modelo de smartphone, tamaño de pantalla, operador de telefonía móvil, etc.) y la enviaba al servidor de los cibercriminales. A su vez, recibía como respuesta una lista de direcciones web que dirigían (por medio de diversos redireccionamientos) a una página de pago por suscripción.

Apariencia de las páginas de pago por suscripción.

 

Puede que en algún momento te hayas topado con las suscripciones de pago; a veces son el tono que escuchas cuando recibes una llamada y que requiere un pago diario, o también mensajes WAP o SMS que no necesitas pero que, euro a euro, consumen el saldo de tu teléfono. La popularidad de estas suscripciones varía en función del país en el que te encuentres. A menudo, las personas se suscriben por simple descuido. No leen la letra pequeña y, antes de darse cuenta, están pagando por un horóscopo. Por lo general, las víctimas se dan cuenta de que tienen activas dichas suscripciones solo cuando su saldo se agota antes de tiempo.

En este caso en particular, la tarea del malware es que la víctima se suscriba al contenido de pago sin levantar sospechas. Para ello, lo que hace es desactivar el wifi y cargar las páginas maliciosas a través de los datos móviles en ventanas que el usuario no ve. Y, para llenar los campos requeridos (por ejemplo, un número de teléfono), utiliza de la información anteriormente recopilada. Si el proceso de suscripción usa un CAPTCHA, la imagen se envía a un servicio especial para su descifrado; y si se requiere un código de verificación mediante SMS, lo intercepta mediante el acceso a las notificaciones.

Cómo evitar las suscripciones no deseadas

Calcular de inmediato el daño potencial de una aplicación es difícil, pero existen modos de saber si una aplicación es sospechosa y de protegerse de las características ocultas.

  • Revisa con cautela la lista de permisos que el programa solicita. Te sugerimos que leas nuestra publicación sobre los permisos de Android. Si una aplicación solicita el acceso a permisos potencialmente peligrosos y consideras que son innecesarios, no tengas miedo de rechazarlos. Y si insiste, elimínala.
  • Utiliza una buena solución de seguridad. Por ejemplo, Kaspersky Internet Security for Android detecta las “páginas de suscripción” y te advierte del peligro.
  • Si tu operador de telefonía móvil te ofrece la opción, abre una “cuenta de contenido” adicional o activa el servicio de bloqueo de suscripciones.