Los expertos de Kaspersky han descubierto que MobOK -malware para el robo de dinero- se ocultaba en aplicaciones de edición de fotos aparentemente legítimas disponibles en la tienda de Google Play. En el momento del hallazgo, las aplicaciones ‘Pink Camera’ y ‘Pink Camera 2’ se habían instalado unas 10.000 veces. Estas aplicaciones fueron diseñadas para robar información personal y utilizarla para inscribir a los usuarios a servicios de suscripción de pago. Las víctimas solo descubrían el robo cuando en su factura de servicios móviles aparecían costes inesperados. Ambas aplicaciones se han eliminado de la tienda de Google Play y ya no están disponibles.
El malware de MobOk es un backdoor (troyano de puerta trasera), uno de los tipos de malware más peligrosos, ya que ofrece al atacante un control casi total sobre el dispositivo infectado. A pesar de que el contenido subido a Google Play se filtra de manera exhaustiva, no es la primera vez que las amenazas llegan a los dispositivos de los usuarios. En muchos casos, los backdoors llevan una capa semi-funcional, que a primera vista parece ser un intento pobre, pero inocente, de crear una aplicación legítima. Por esta razón, las aplicaciones de Pink Camera no despertaron sospechas, ya que incluían funcionalidades de edición de fotos auténticas y habían sido descargadas de la tienda de Google Play.
Sin embargo, tan pronto como los usuarios comenzaban a editar sus imágenes utilizando las aplicaciones de Pink Camera, estas solicitaban acceso a las notificaciones y esto inició la actividad maliciosa en segundo plano. El objetivo era suscribir al usuario a servicios de suscripción móvil. Estos suelen parecer páginas web que ofrecen un servicio a cambio de un pago diario que se carga a la factura del teléfono móvil. Este modelo de pago fue desarrollado originalmente por los operadores de redes móviles para facilitar a los clientes la suscripción a servicios premium, pero hoy en día, a veces, es objeto de abuso por parte de los ciberdelicuentes.
Una vez infectada la víctima, el malware MobOk recopilaba información del dispositivo para explotar esta información en posteriores etapas del ataque
Una vez infectada la víctima, el malware MobOk recopilaba información del dispositivo, como el número de teléfono asociado, para explotar esta información en posteriores etapas del ataque. Luego, los atacantes enviaban al dispositivo infectado detalles de las páginas web con servicios de suscripción de pago y el malware los abría, actuando como un navegador secreto en segundo plano. Utilizando el número de teléfono extraído anteriormente, el malware lo insertba en el campo «subscribirse» y confirmaba la compra. Al tener el control total del dispositivo y poder comprobar las notificaciones, el malware introducía el código de confirmación del SMS cuando llegaba, todo ello sin avisar al usuario. La víctima comenzaba a incurrir en gastos y continuaba haciéndolo hasta que detectaba los pagos en su factura telefónica y cancelaba la suscripción a cada servicio.
“La capacidad de edición de fotos de las apps Pink Camera no era muy impresionante, pero lo que podían hacer entre bastidores era notable: suscribir a personas a servicios maliciosos y lucrativos en ruso, inglés y tailandés, monitorizar los mensajes de texto y solicitar el reconocimiento de los servicios online de Captcha (el código que hay que escribir para demostrar que no es un robot). Esto significa que también tenía el potencial de robar dinero de las cuentas bancarias de las víctimas. Nuestra teoría es que los atacantes detrás de estas aplicaciones crearon tanto los servicios de suscripción -no todos los cuales eran auténticos- como el malware que enganchaba a los suscriptores, y los diseñaron para llegar a una audiencia internacional», señala Igor Golovin, investigador de seguridad de Kaspersk