Aplicación Android que suscribe un servicio SMS Premium sin nuestro conocimiento

Que nos suscribamos a un servicio de SMS Premium mediante alguna estrategia fraudulenta no es una novedad en Internet y smartphones, ya hemos comentado en otras ocasiones estas operaciones, donde los usuarios más confiados confirman la suscripción sin saber realmente lo que están haciendo.

Pero lo que han publicado recientemente dos informáticos que han investigado cierta aplicación es mucho más alarmante, la posibilidad de que la propia aplicación se suscriba al servicio ella sola, sin nuestra actuación y sin nuestro conocimiento. El caso es realmente peculiar y malicioso, por lo que merece nuestra difusión.

Aplicación en Android que suscribe un servicio SMS Premium sin nuestro conocimientoLa aplicación, de nombre Linterna Led, prometía hacer lucir el led del móvil como linterna pero con una intensidad mayor de lo normal, lo que a muchos usuarios les puede parecer atractivo. Ese era el gancho, pero una vez instalada, realizaba una serie de acciones de forma silenciosa que terminaban con la suscripción a un servicio de recepción de SMS publicitarios, de esos que encarecen nuestra factura telefónica considerablemente.

La aplicación se podía descargar incluso en la tienda oficial de Google Play y aunque ya no está disponible, las cifras que aparecían indicaban que al menos 10.000 usuarios la habían instalado. Y esto sin contar los que la instalaron desde otros lugares de descarga alternativos, de donde también se podía descargar y quizá aún se pueda.

El “éxito” de esta aplicación radica en la coincidencia de varios fallos en las necesarias medidas de seguridad, pero también, por qué no decirlo, en al ingenio de quien la ha creado.

La aplicación, una vez instalada, es capaz de conectarse de forma oculta a una página de Internet donde escribe el número del móvil y empieza el proceso de suscripción. Pero estos procesos requieren una confirmación que debemos hacer tras recibir un SMS con una clave. Aquí radica la novedad, esta aplicación puede leer los SMS recibidos, extraer la clave y terminar la suscripción en Internet por sí misma. Además, si la víctima tiene instalado Facebook en el móvil, todos sus contactos recibirán una recomendación automáticamente indicando las bondades de la supuesta linterna, con lo que la expansión está garantizada.

Pero, ¿cómo evita todos los sistemas de seguridad?

En realidad es una acumulación de pequeños fallos los que determinan que la aplicación pueda llegar a realizar esta acción tan “insegura”.

  • Los controles sobre la seguridad que hace Google de los millones de aplicaciones que ofrece en su Play Store son insuficientes. No es el primer caso de aplicación que sortea los métodos de detección de software malicioso.
  • Los permisos que el usuario acepta son claramente “exagerados” para una aplicación que solo encendería el led del flash y podrían haber alertado de sus malas intenciones. Para instalarla es preciso aceptar una lista de permisos tan sospechosos como “poder leer SMS” y “conectarse a Internet”, aunque este último es muy frecuente en las aplicaciones, pues lo necesitan para poder mostrar publicidad.
  • La página de Internet donde se realiza la suscripción permite que una máquina rellene los formularios, algo que suele evitarse normalmente con el uso de sistemas que requieren la identificación de letras y números deformados (“captcha”).
  • Las compañías telefónicas debería bloquear por defecto a todos los usuarios este tipo de suscripciones y solo permitirlas a quien las solicite formalmente. Cesarían radicalmente los intentos de este tipo de fraude. Según parece, Vodafone tiene numerosas reclamaciones de sus clientes relacionadas con este timo.
  • La lectura del número móvil de nuestra SIM, que en principio es muy difícil o está vetado para las aplicaciones, lo consigue a través de una tercera aplicación que la inmensa mayoría tenemos en el móvil, el WhatsApp. Algo que sus desarrolladores deberán mirar, porque de nada sirve impedir que el número sea visible por las aplicaciones si después un tercero, a quien se lo confiamos, lo muestra.

Este es un caso bastante especial, aparentemente se trata de una inofensiva aplicación tipo linterna y descargada de Google Play, lo que hace relajar claramente nuestro sentido de la precaución. Pero, nunca olvidemos revisar la lista de permisos y si algo no nos gusta, rechacémosla. Esto habría sido suficiente para echar por tierra los planes de este ciberdelincuente y probablemente de muchos otros en el futuro.

Nuestro consejo es nunca instalar aplicaciones que procedan de páginas alternativas y cuando lo hacemos desde la oficial, revisar la lista de permisos antes de decidir.

Comments

  1. Buenas, me gustaria saber que si he descargado una aplicacion q pone suscripcion a una tablet donde no tengo sim (aunque la he tenido) ¿tengo que preocuparme los sms premium? Tampoco tengo whatsapp actualmente. Pero tengo la sim sin utilizar en un cajon

    La aplicacion la descargue por error, es emoticonos para whatsapp de smstelecom

    Gracias

    • Pues depende de si realmente confirmó el servicio de suscripción, normalmente con el envío de un SMS de confirmación. Para estar seguro puede revisar su factura o consultar a la compañía telefónica de la SIM.

Speak Your Mind