ATENCIÓN: este contenido tiene más de 2 años de antigüedad y, debido a su temática, podría contener información desactualizada o inexacta en la actualidad.
Hay que tener mucho (pero mucho) cuidado con cualquier cosa que instales en tu teléfono móvil, especialmente en el caso de Android, el sistema operativo más extendido, con una cuota de mercado de más del 80% mundial. Parece una obviedad, pero no lo es en absoluto, al menos si nos atenemos a los hechos. Y es que, en muchas ocasiones, solo por el mero hecho de que una aplicación esté disponible en la tienda de Google y tenga muchas descargas es motivo suficiente para fiarnos e instalarla. ¡Error!
Un caso reciente de fraude grave ha sido el protagonizado por una aplicación que, supuestamente, servía para grabar llamadas telefónicas llamada QRecorder, una de las decenas de aplicaciones de este tipo que podemos encontrar en la Play Store. Esta aplicación maliciosa, descubierta por la policía checa, ha robado al menos 78.000€ de sus víctimas atacando sus cuentas bancarias desde el móvil.
Al instalar este tipo de aplicaciones, por regla general requieren muchos permisos, aunque sean legítimas: al fin y al cabo se "embeben" mucho en el sistema para poder hacer su trabajo: gestionar y grabar llamadas. En este caso la aplicación aprovechaba el servicio de accesibilidad del sistema para detectar qué aplicaciones bancarias estaban instaladas en el móvil, descargar y ejecutar código externo malicioso específico para cada banco (albergado en Firebase, el servicio de Google). Además, usaba el permiso para dibujar sobre otras aplicaciones para robar las credenciales. Finalmente, el permiso para gestionar SMS se utilizaba para poder enviar y recibir mensajes y así confirmar las transacciones fraudulentas que realizaban. Toda una obra de arte de código utilizada para el mal.
El troyano se distribuía fundamentalmente en los mercados de Europa del Este ya que estaba traducido (suponemos que de momento) tan solo a checo, polaco y alemán, y atacaba a bancos de esta área geográfica. La policía checa tiene incluso fotografías de alguno de los "crackers" obtenidas en un cajero al que iban a retirar dinero obtenido con el troyano.
En la página de Lukas Stefanko, el analista de seguridad móvil que ha divulgado el caso, se pueden obtener detalles de la aplicación y de su código y funcionamiento. Incluso podemos verlo en funcionamiento en este vídeo que ha publicado:
Hay que mirar "muy mucho" qué aplicaciones descargamos, y que los permisos que les otorgamos sean los estrictamente necesarios y no más. Además, por el hecho de que una app esté en Google Play, tenga muchas descargas e incluso muchas valoraciones, no es motivo suficiente para fiarse, en especial en aquellas aplicaciones que acceden mucho al sistema. El hecho de que Google audite y analice las aplicaciones antes de permitir que aparezcan en la tienda se ha demostrado que no es suficiente en muchas ocasiones, y este solo es un caso más. ¡Precaución amigo conductor!
Noticia vista originalmente en Una al día de Hispasec.
Fecha de publicación: