TECNOVIRUS – El blog de Securelist publicó este 5 de julio un informe en donde desenmascara una aplicación maliciosa para iOS y Android, presente tanto en App Store de Apple como en Google Play. Fueron alertados por el proveedor de telefonía ruso MegaFon, quienes notificaron a Kaspersky Labs (quien administra Securelist y Viruslist, entre otros) acerca de una aplicación sospechosa de la cual muchos usuarios se estaban quejando. A simple vista parecía un gusano SMS que enviaba mensajes cortos a todos los contactos de la libreta de direcciones del usuario junto a la URL de un website “fantasma”.
Según indica Denis Maslennikov, experto de seguridad de Kaspersky Labs y autor de la noticia, tras realizar un análisis de la aplicación en sus dos versiones, se dieron cuenta que no era un gusano sino un Troyano que sube la libreta de direcciones del usuario a un servidor remoto. La replicación de la misma es hecha por el servidor, quien genera los SMS con la dirección URL de la aplicación, para ser enviados como spam a los contactos de la libreta de direcciones de la víctima. La aplicación se llama “Find and Call”, encontrada en la Apple App Store y en la tienda Google Play de Android. Kaspersky informó tanto a Apple como a Google pero hasta ahora no han recibido respuesta. Las quejas de los usuarios no se han hecho esperar.
Luego de la instalación, el siguiente ícono aparece en el menú home del dispositivo:
Si el usuario ejecuta la aplicación, se le pide registrarse en la app usando su dirección de email y número de celular (ambos campos no son chequeados para ver su validez). Si el usuario quiere encontrar amigos en su libreta, esta será enviada (secretamente pero sin notificación EULA o Términos de Uso visibles, lo cual supone la ilegalidad del proceso) a un servidor remoto en el siguiente formato:
http://abonent.findandcall.com/system/profile/phoneBook?sid=
Aquí están las usadas para subir la libreta de direcciones al servidor remoto:
- Rutina de Android
Lista de campos recuperados de la libreta de direcciones:
Ambas aplicaciones fueron capaces de subir las coordinadas GPS del usuario al mismo servidor remoto. Esta característica no es nueva en el software malicioso y aplicaciones legales, para ser sinceros. Lo siguiente es que el usuario podrá seguir usando la aplicación pero al mismo tiempo esta robará datos del dispositivo para emplearlos en una campaña de spam como si proviniese del usuario mismo.
En resumen, nos hacemos estas preguntas:
1. ¿Son maliciosas estas aplicaciones? Si lo son.
2. ¿Por qué? Porque suben los contactos de la libreta de direcciones para luego enviarles spam. Fueron detectadas y clasificadas como “Trojan.AndroidOS.Fidall.a” y “Trojan.IphoneOS.Fidall.a” por Kaspersky.
3. ¿Quienes las crearon? Buena pregunta. Aparentemente el website de esta aplicación solicita entrar (tras registrarse) en tus cuentas de redes sociales e inclusive en PayPal para añadir dinero a tu cuenta de IT Mobile. Si intentas transferir desde PayPal, te darás cuenta que el dinero será enviado a una compañía llamada “LABWEALTH.COMPTE.LTD”, la cual está basada en Singapur y es llamada “Wealth Creation Laboratory” (Laboratorio Creador de Riqueza), y su slogan es muy conveniente: “Vamos a crear juntos un mundo de mucha prosperidad y riqueza”.
Pues claro, esto funcionará para ellos. Sugerimos a todos nuestros lectores tener mucho cuidado con este tipo de aplicaciones, y reportar cualquier actitud sospechosa de algún otro programa en las tiendas de apps.
Fuente: Kaspersky Labs.
1 comentario