Un editor de fotos muy peculiar

24 Jun 2019

Toda vez que hablamos sobre la seguridad de Android, nuestra recomendación es descargar siempre las aplicaciones únicamente de Google Play Store, ya que contienen muchas menos aplicaciones maliciosas en comparación con otros sitios. Aun así, de vez en cuando los desarrolladores logran introducir subrepticiamente malware. Así, pues, ¿cómo evitamos descargar una aplicación peligrosa de Google Play? Presta suma atención a los permisos que te solicita la aplicación y piensa cuidadosamente por qué necesita dichos permisos antes de aceptar (o rechazar). La entrada de hoy analiza este problema: los peligros que entrañan las aplicaciones de Google Play que solicitan permisos parecen innecesarios.

No hace mucho, descubrimos un par de programas nada seguros en Google Play, que se hacían pasar como aplicaciones de fotografía. Ambas aplicaciones estuvieron en la tienda el tiempo suficiente para acumular 10,000 descargas, respectivamente. En ellas, nada llamaba particularmente la atención; tan solo formaban parte de la categoría “un editor de fotos más”.

Dos editores de fotos casi idénticos, supuestamente de desarrolladores diferentes, que te registran en secreto a páginas de pago por suscripción.

La única señal que habría alarmado al usuario observador consistía en que las aplicaciones solicitaban de modo insistente acceso a las notificaciones y no aceptaban una negativa como respuesta. Todos los mensajes entrantes aparecen en las notificaciones, lo cual significa que los editores de foto, si se les otorgaba el permiso, podían leerlos. Un editor de foto no necesita dicho acceso; generalmente, eso se utiliza para comunicarse con un smartwatch. Entonces, ¿por qué solicitarla?

Bueno, después de la instalación, el mencionado editor de fotos recolectaba la información (número de teléfono, modelo de smartphone, tamaño de pantalla, operador de telefonía móvil, etc.) y la enviaba al servidor de los cibercriminales. A su vez, recibía como respuesta una lista de direcciones web que dirigían (por medio de diversos redireccionamientos) a una página de pago por suscripción.

Aspecto de las páginas de pago por suscripción.

Probablemente en algún momento te hayas topado con páginas de pago por suscripción, ya sea como un tono que la gente escucha cuando te llaman y que requiere pago diario, o como mensajes WAP o SMS que no necesitas pero que, centavo a centavo, merman tu saldo de telefonía móvil. En varios países, algunos usuarios de telefonía móvil son menos afectos a dichos pagos por suscripción. A menudo, las personas se suscriben por simple descuido. No leen las letras pequeñas y, cuando menos se dan cuenta, están pagando por un horóscopo. Por lo general, las víctimas reparan en dichas suscripciones solamente cuando sus saldos de telefonía móvil se agotan antes de tiempo.

En este caso en particular, la misión del malware es hacer que la víctima se suscriba al pago de contenidos de modo que no levante sospechas. Para tal fin, desactiva el Wi-Fi y, mediante los datos móviles, carga páginas maliciosas en ventanas que el usuario no visualiza. Para llenar los campos requeridos (por ejemplo, un número telefónico), echa mano de la información anteriormente recolectada. Si el proceso de suscripción usa un CAPTCHA, la imagen se envía a un servicio especial para su desciframiento; o bien, intercepta el SMS con el código de verificación, en caso de ser requerido, mediante el acceso a las notificaciones.

Cómo evitar las suscripciones no deseadas

Resulta difícil medir de inmediato el potencial dañino de una aplicación. Ahora bien, existen modos de reconocer una aplicación sospechosa y protegerse de las propiedades no documentadas.

  • Revisa con atención la lista de permisos que el programa solicita. Te sugerimos que leas nuestra otra publicación sobre los permisos de Android. Si una aplicación solicita acceso a permisos potencialmente peligroso que consideres innecesarios, no tengas miedo de rehusarte. Si ésta insiste en ello, elimínala.
  • Utiliza una solución sólida de seguridad. Por ejemplo, Kaspersky Internet Security for Android detecta las “páginas de suscripción” y te advierte del peligro operador de telefonía móvil
  • Si tu operador de telefonía móvil te ofrece la opción, abre una “cuenta de contenido” adicional o activar el servicio de bloqueo de suscripciones.