Mateusz Slodkowski/SOPA Images/LightRocket vía Getty Images
Google eliminó dos aplicaciones, una con más de 100,000 descargas, después de recibir un informe de que formaban parte de un esquema ilegal que reenviaba subrepticiamente mensajes de texto que se usaban para crear cuentas fraudulentas en sitios web de terceros.
La primera aplicación, llamada Symoo, se anunciaba a sí misma como un mensajero SMS fácil de usar. Una vez instalado, solicitaría el número de teléfono del usuario y luego simularía cargar la aplicación. Luego, la aplicación se colgaba en la pantalla mientras, en segundo plano, copiaba todos los mensajes de texto recibidos y los enviaba a goomy.[.]fun, un sitio web controlado por el desarrollador.
La pantalla se colgaría indefinidamente, por lo que eventualmente muchos usuarios probablemente forzarían el cierre de la aplicación y la desinstalarían. Sin embargo, durante el tiempo que se ejecutaba Symoo, el desarrollador usaba el número para un servicio de pago que registraba cuentas falsas en sitios que requerían verificaciones basadas en SMS. Mientras se ejecutaba la aplicación, el servicio registraba cuentas usando el número de teléfono infectado y luego copiaba el código de verificación devuelto por el sitio. Además de enviar mensajes de texto asociados con la creación de una cuenta falsa, Symoo reenvió todos los mensajes de texto que el teléfono infectado recibió de otras partes.
El desarrollador de Symoo tiene enlaces a una persona detrás de otra aplicación llamada ActivationPW. ActivationPW funcionó a través de la activación[.]pw, un sitio web que permite a las personas comprar cuentas con teléfonos infectados.
El martes, unas 12 horas después de que un investigador de seguridad publicó sus hallazgos, Google finalmente eliminó Symoo y ActivationPW de su tienda Play. La compañía también eliminó la cuenta de Play del desarrollador.
Una búsqueda de VirusTotal mostró que goomy[.]fun había sido utilizada por una aplicación Play llamada VirtualNumber. Fue creado por la misma persona detrás de la activación.pw y, al igual que Symoo, proporcionó una forma de crear cuentas falsas usando teléfonos infectados.
El desarrollador de la aplicación VirtualNumber es el mismo que creó ActivationPW, una aplicación que se descargó más de 10 000 veces y se anunciaba ofreciendo números en línea de más de 200 países.
Muchos sitios requieren que las personas se registren para obtener una cuenta para proporcionar un número de teléfono que reciba mensajes de texto SMS. La cuenta no se puede crear hasta que el usuario copie un código de verificación enviado al teléfono. Las personas que buscan crear cuentas para uso de bots o con fines fraudulentos a menudo recurren a servicios como ActivationPW para sortear este requisito.
Cualquiera que haya instalado alguna de estas aplicaciones debe revisar sus teléfonos para asegurarse de que se hayan eliminado. También deben tener en cuenta que todos los mensajes de texto que recibieron mientras las aplicaciones estaban abiertas se reenviaron a un servidor que realizaba actividades ilegales.