Somos un par de programadores de apps para móviles a los que nos gusta venir a El lado del mal a leer los artículos y nos hemos decidido hoy a contaros esta historia en la que se puede ver que un cibercriminal, se ha montado un chiringuito con las apps de Android para hacer fraude online y comprarse un chalet un en la playa o donde quiera, por si alguno de vosotros puede avisar a amigos y compañeros de que eviten este problema o por si estáis puesto con este tipo de malware y os apetece investigar un poco más.
Parte 1: Del gancho en Facebook al SMS de pago por Vodafone
Hace poco mi colega vio un anuncio a través de Facebook en el que un amigo suyo había publicado un post sobre una app para Android que supuestamente ofrecía una linterna molona para el móvil que "...hace brillar el led mas que ninguna otra app de linternas y totalmente gratuita...".
Ni corto ni perezoso mi compañero se la descargó con intención de decompilar el código y así aprender cómo demonios hacía eso de hacer brillar más el led. ¿Sería algún parámetro trucado en alguna función de la API? ¿Sería alguna función oculta? Había que resolver el misterio y por el camino llegó la sorpresa, que mató al gato por su curiosidad.
Al descargarse la app no había supuestamente ningún servicio que pudiera acarrear coste alguno. Según la lista de información que acompañaba a la app, ésta podía leer mensajes y conectarse a Internet pero para nada decía que pudiera enviar mensajes de ningún tipo - con o sin coste - o hacer llamadas, por lo que continuó con la descarga. Sin embargo, nada más ejecutarse, esta app lee tu número de teléfono, se conecta a Internet y da de alta el número de teléfono de la víctima en una página de servicios ofrecidos vía mensajes SMS. Rápida y mortal.
En este caso en concreto, nada más instalarte la app y que te de alta en un servicio de mensajes SMS de pago, Vodafone manda de forma instantánea un mensaje con un PIN al dueño del número de teléfono para que autorice el alta en este servicio. Este mensaje que se recibe no tiene coste, es solo una medida de seguridad que en este caso Vodafone implementa para evitar la suscripción automática de personas a los servicios de pago, aunque como veremos más adelante no son tan seguros los métodos empleados para el registro.
Lo que sucede es que la aplicación en tu Android está esperando ese mensaje SMS que llega desde Vodafone para leerlo - ya que tiene permiso para hacerlo -, extraer el PIN de seguridad del mensaje y autorizarse ella solita en la misma página Web de los servicios de pago para confirmar la suscripción.
La lectura de estos mensajes SMS desde una app es algo que se puede hacer desde código y que se explica en el libro de Desarrollo de Android Seguro, ya que es muy utilizado por el malware en el mundo de Android. En el caso del troyano para espiar Android es lo que se utiliza para controlar remotamente al bot de espionaje instalado.
Por supuesto, una vez que has confirmado la suscripción - Vodafone supone que has sido tú y no una app maliciosa en tu terminal móvil por su cuenta - se ha autorizado al proveedor de servicios a enviar mensajes SMS con coste, que te serán cargados en la factura.
No contento con eso, para conseguir la viralización del negocio, si tienes instalada la app de Facebook en tu terminal Android, la linterna molona publica en tu nombre un post contando las virtudes de la famosa linterna para que tus amigos la prueben también a ver cómo diablos se consigue tener una linterna que ilumina tanto.
Parte 2: ¿Pero esto qué es?
Cabreado como una mona - pues a ningún profesional en el tema le gusta que "se la metan" y si no que se lo digan a Eagle cuando le enchufaron desde Cydia la app que hacía click-frauden su iPhone - mi compañero averiguo esto a posteriori no sin antes restringir rápidamente el servicio en Vodafone, para a continuación decompilar la app y destripar cómo funcionaba el tinglado.
Para destripar un poco el funcionamiento procedimos a descompilar la aplicación usando dex2jar para obtener el código fuente mas o menos legible, y digo mas o menos porque estaba ofuscado utilizando Proguard. Usamos también el explorador de ficheros JAR llamado JD-GUI para Windows para abrir el JAR decompilado y APKTool para extraer los recursos de la aplicación, es decir imágenes, documentos XML y demás recursos embebidos.
El identificador único de la aplicación para Android es com.linterna.molona. La verdad es que con ese nombre no prometía mucho, pero luego hay que reconocer que se han trabajado el sistema hacer el registro automatizado y la viralización de la estafa. La aplicación fue retirada de Google Play a los pocos días pero aun existe en algunas páginas en la caché de Google en la que se puede ver - y con muy buena valoración de la misma -.
La app ha sido retirada por Google, en los foros tenía quejas de usuarios, pero después de superar más de 10.000 descargas, ya que el ratio en Google Play está entre 10.000 y 50.000 instalaciones desde el 23 de Diciembre del año pasado, lo que es una pasada.
En otros foros como AppsZoom aparece aún disponible y en ellas hay ya más de 100.000 descargas y muchas quejas de víctimas. Con la friolera de 100.000 a 500.000 descargas, multiplicadas cada una por 1.5 € en el mejor de los casos…haced cuentas.
Desde luego, viendo esto la credibilidad de sitios como AppsZoom que siguen distribuyendo esta app y creando más y más víctimas de esta estafa. Lo único bueno que tiene esto es que si te gusta la seguridad y quieres analizar bien la estafa, tienes fácil localizar el malware. Está a la vista de todos, ahí, en sitios que se presentan como índices de apps para terminales móviles.
En el sitio se puede ver que el supuesto desarrollador parece ser un tal Rylan Roach pero es fácil suponer que será un nombre falso. Si el tipo éste se pilla un LiveCD con una distribución de TOR, se da de alta en Google Play con una cuenta en las Islas Caimán para cargar los 20 USD y a ver quién lo encuentra ahora. A Google Play, por desgracia, puede subir una aplicación hasta el gato de tu prima y como hemos visto, con la desfachatez de decir que eres Apple o si lo prefieres que eres WhatsApp y nada más pasa.
Tras escarbar un poco en Internet es fácil encontrar que en el foro de usuarios de Vodafone había quejas de gente a la que le habían estafado hasta 30 € y la aplicación tenia más de 100.000 descargas. Vamos que se están forrando.
Por supuesto se ha puesto una denuncia y la Guardia Civil y su Grupo de Delitos Informáticos se ha puesto en contacto para obtener el código fuente e incluso se han interesado en verse en persona para que se explique en detalle todo lo que se ha descubierto: URLs, empresas implicadas - la Web de servicios de esta estafa es malagueña, etcétera. Como apunte decir que la web que ofrece esos servicios premium:
Analizando la app, se puede ver que tiene los siguientes permisos, y aunque si bien es cierto no requiere enviar ningún mensaje SMS, sí que puede recibirlos y aprovecharse de la forma de darse de alta en la web de servicios de coste a los SMS.
Otra curiosidad es que el funcionamiento habitual de Alta Premium según Vodafone es el siguiente:
Afinando la vista se puede ver que la aplicación incluso avisa de que “Pulsando ACEPTAR enviaras el PIN para proceder al ALTA……” Todo ello en letra pequeña y con un contraste mínimo. ¿No lo has visto en la pantalla anterior? Aquí tienes un zoom para que te fijes lo asequible que está.
Y pulsando en el enlace “Términos y Condiciones” remite a la siguiente URL donde se te avisa del palo que te van a dar como des en Aceptar.
La app además va cambiando de proveedores de Servicios Premium y repartiendo las suscripciones a diestro y siniestro en múltiples sitios, con lo que hace más difícil el luchar contra una estafa tan capilarizada.
Parte 4: Y esto es todo amigos
Para más INRI te suscriben a este tipo de servicios que seguro que para muchos de vosotros, como para mí, es absurdo hasta suponer que alguien se pueda creer - y menos un juez - que estos son contenidos por los que a día de hoy se pagaría masivamente.
Visto todo esto, y por concluir, podemos decir que un cibercriminal con conocimientos de programación de apps de los que se pueden obtener en un buen curso de desarrollo de apps para terminales móviles o con la lectura del pack BYOD, un poco de mala uva y visión de "negocio", sumados a un sito Web de servicios que ofrece un sistema de registro totalmente inseguro - no sé si intencionadamente o por falta de profesionalidad de los programadores de la misma -, más el control poco exhaustivo de las aplicaciones por parte de Google Play del que tantas y tantas veces se ha quejado todo el mundo, ha propiciado esta estafa.
Seguro que visto el éxito, este negocio se estará dando en más países y que seguramente va a acabar con el cierre de la Web - veremos si además con un multazo por incumplir alguna ley -, y con el cibercriminal con un chalet en la playa, que a ver quién es el guapo que le echa el guante.
Actualización: Como se han detectado más apps maliciosas haciendo uso de este mismo esquema se ha subido esta app a Google Play que comprueba que apps por sus permisos podrían realizar esta estafa, para que tengas cuidado.
Autores:
José C. Agudo & Miguel Ángel Cardenete
Ni corto ni perezoso mi compañero se la descargó con intención de decompilar el código y así aprender cómo demonios hacía eso de hacer brillar más el led. ¿Sería algún parámetro trucado en alguna función de la API? ¿Sería alguna función oculta? Había que resolver el misterio y por el camino llegó la sorpresa, que mató al gato por su curiosidad.
Figura 1: Linterna Led a.k.a "Linterna Molona" en Google Play |
Al descargarse la app no había supuestamente ningún servicio que pudiera acarrear coste alguno. Según la lista de información que acompañaba a la app, ésta podía leer mensajes y conectarse a Internet pero para nada decía que pudiera enviar mensajes de ningún tipo - con o sin coste - o hacer llamadas, por lo que continuó con la descarga. Sin embargo, nada más ejecutarse, esta app lee tu número de teléfono, se conecta a Internet y da de alta el número de teléfono de la víctima en una página de servicios ofrecidos vía mensajes SMS. Rápida y mortal.
En este caso en concreto, nada más instalarte la app y que te de alta en un servicio de mensajes SMS de pago, Vodafone manda de forma instantánea un mensaje con un PIN al dueño del número de teléfono para que autorice el alta en este servicio. Este mensaje que se recibe no tiene coste, es solo una medida de seguridad que en este caso Vodafone implementa para evitar la suscripción automática de personas a los servicios de pago, aunque como veremos más adelante no son tan seguros los métodos empleados para el registro.
Lo que sucede es que la aplicación en tu Android está esperando ese mensaje SMS que llega desde Vodafone para leerlo - ya que tiene permiso para hacerlo -, extraer el PIN de seguridad del mensaje y autorizarse ella solita en la misma página Web de los servicios de pago para confirmar la suscripción.
La lectura de estos mensajes SMS desde una app es algo que se puede hacer desde código y que se explica en el libro de Desarrollo de Android Seguro, ya que es muy utilizado por el malware en el mundo de Android. En el caso del troyano para espiar Android es lo que se utiliza para controlar remotamente al bot de espionaje instalado.
Por supuesto, una vez que has confirmado la suscripción - Vodafone supone que has sido tú y no una app maliciosa en tu terminal móvil por su cuenta - se ha autorizado al proveedor de servicios a enviar mensajes SMS con coste, que te serán cargados en la factura.
No contento con eso, para conseguir la viralización del negocio, si tienes instalada la app de Facebook en tu terminal Android, la linterna molona publica en tu nombre un post contando las virtudes de la famosa linterna para que tus amigos la prueben también a ver cómo diablos se consigue tener una linterna que ilumina tanto.
Parte 2: ¿Pero esto qué es?
Cabreado como una mona - pues a ningún profesional en el tema le gusta que "se la metan" y si no que se lo digan a Eagle cuando le enchufaron desde Cydia la app que hacía click-frauden su iPhone - mi compañero averiguo esto a posteriori no sin antes restringir rápidamente el servicio en Vodafone, para a continuación decompilar la app y destripar cómo funcionaba el tinglado.
Para destripar un poco el funcionamiento procedimos a descompilar la aplicación usando dex2jar para obtener el código fuente mas o menos legible, y digo mas o menos porque estaba ofuscado utilizando Proguard. Usamos también el explorador de ficheros JAR llamado JD-GUI para Windows para abrir el JAR decompilado y APKTool para extraer los recursos de la aplicación, es decir imágenes, documentos XML y demás recursos embebidos.
El identificador único de la aplicación para Android es com.linterna.molona. La verdad es que con ese nombre no prometía mucho, pero luego hay que reconocer que se han trabajado el sistema hacer el registro automatizado y la viralización de la estafa. La aplicación fue retirada de Google Play a los pocos días pero aun existe en algunas páginas en la caché de Google en la que se puede ver - y con muy buena valoración de la misma -.
Figura 2: Valoraciones y descargas tal y como se ve en la caché de Google |
La app ha sido retirada por Google, en los foros tenía quejas de usuarios, pero después de superar más de 10.000 descargas, ya que el ratio en Google Play está entre 10.000 y 50.000 instalaciones desde el 23 de Diciembre del año pasado, lo que es una pasada.
En otros foros como AppsZoom aparece aún disponible y en ellas hay ya más de 100.000 descargas y muchas quejas de víctimas. Con la friolera de 100.000 a 500.000 descargas, multiplicadas cada una por 1.5 € en el mejor de los casos…haced cuentas.
Figura 3: Linterna LED en AppsZoom aún disponible |
Desde luego, viendo esto la credibilidad de sitios como AppsZoom que siguen distribuyendo esta app y creando más y más víctimas de esta estafa. Lo único bueno que tiene esto es que si te gusta la seguridad y quieres analizar bien la estafa, tienes fácil localizar el malware. Está a la vista de todos, ahí, en sitios que se presentan como índices de apps para terminales móviles.
En el sitio se puede ver que el supuesto desarrollador parece ser un tal Rylan Roach pero es fácil suponer que será un nombre falso. Si el tipo éste se pilla un LiveCD con una distribución de TOR, se da de alta en Google Play con una cuenta en las Islas Caimán para cargar los 20 USD y a ver quién lo encuentra ahora. A Google Play, por desgracia, puede subir una aplicación hasta el gato de tu prima y como hemos visto, con la desfachatez de decir que eres Apple o si lo prefieres que eres WhatsApp y nada más pasa.
Tras escarbar un poco en Internet es fácil encontrar que en el foro de usuarios de Vodafone había quejas de gente a la que le habían estafado hasta 30 € y la aplicación tenia más de 100.000 descargas. Vamos que se están forrando.
Por supuesto se ha puesto una denuncia y la Guardia Civil y su Grupo de Delitos Informáticos se ha puesto en contacto para obtener el código fuente e incluso se han interesado en verse en persona para que se explique en detalle todo lo que se ha descubierto: URLs, empresas implicadas - la Web de servicios de esta estafa es malagueña, etcétera. Como apunte decir que la web que ofrece esos servicios premium:
- No va con protocolo httpsParte 3: ¿Pero cómo es esto posible?
- Los parámetros van por GET en la URL
- No dispone de captchas para impedir el registro automátizado por parte de malware
Analizando la app, se puede ver que tiene los siguientes permisos, y aunque si bien es cierto no requiere enviar ningún mensaje SMS, sí que puede recibirlos y aprovecharse de la forma de darse de alta en la web de servicios de coste a los SMS.
<uses-permission android:name="android.permission.CAMERA" />
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.GET_ACCOUNTS" />
NO TIENE PERMISO:Se puede observar que según Android el llamar por teléfono o enviar mensajes SMS puede comportar costes adicionales, evidente. Pero leer mensajes SMS NO comporta gastos adicionales, algo que como vemos es un error, ya que una app capaz de leer un mensaje SMS puede comportar gastos adicionales,en tanto en cuanto puede leer un PIN de alta de confirmación de Premiun o cosas peores.
<uses-permission android:name="android.permission.SEND_SMS" />
Figura 4: Los permisos de la app que pueden y "que no" pueden acarrear costes |
Otra curiosidad es que el funcionamiento habitual de Alta Premium según Vodafone es el siguiente:
El alta en los servicios Premium es siempre voluntaria.
Para Mensajes Premium tú envías un SMS de manera voluntaria a un número corto y siempre recibirás un SMS donde se te informará del precio del servicio. En el caso de las numeraciones de mayor tarificación serás informado del precio y deberás confirmar la compra a través del envío de un nuevo SMS.
Para darte de alta en una Alerta Premium puedes hacerlo desde el teléfono mediante el envío voluntario de un SMS a un número corto de cinco o seis dígitos con la palabra ALTA, lo que supondrá el alta en un servicio de suscripción de SMS Premium.
Recibirás un SMS donde se te pedirá que confirmes que deseas realizar la suscripción. En el caso de que confirmes, recibirás periódicamente mensajes SMS con coste. En caso de que no confirmes, no se realizará la suscripción.
También puedes darte de alta a través de una página web en la que introduces tu número de móvil y posteriormente recibes un SMS para aceptar la suscripción con un código de acceso. Si aceptas las condiciones te darán de alta en el servicio de suscripción SMS Premium, y recibirás periódicamente las alertas con coste.
En ocasiones los proveedores también mandan publicidad vía correo electrónico para que te des de alta en nuevas alertas.
By Vodafone…..
Este procedimiento de “Alta Web” es totalmente inseguro, una aplicación de Android puede suplantar todas estas acciones de manera fácil con permiso de Leer SMS (que no comporta gasto). Esto se puede solucionar obligando a que se envíe el típico mensaje de “ALTA 123345 CODIGO” deba ser enviado con un SMS algo que los usuarios tienen más interiorizado y saben que conlleva riesgos si se da este permiso a una app. El sistema Alta Web es inseguro e innecesario. Esto unido a que por defecto en Vodafone los servicios Premium están activados cierra el circulo de la estafa.
Para conseguir el número de tu teléfono utiliza una serie de trucos, alguno digno de un troyano que quiera espiar WhatsApp, ya que accede al número de teléfono que tienes configurado en él para registrarte en la web. Esta es una parte del código ofuscado de la app.
Para conseguir el número de tu teléfono utiliza una serie de trucos, alguno digno de un troyano que quiera espiar WhatsApp, ya que accede al número de teléfono que tienes configurado en él para registrarte en la web. Esta es una parte del código ofuscado de la app.
Account[] arrayOfAccount = AccountManager.get(this.e).getAccounts();
.......
for (int j = 0;; j++)
{
.....
if (!localAccount.type.equals("com.whatsapp")) {
break label333;
}
this.f = 'W';
Además, para hacer uso de este último sistema de Alta Web con tu "consentimiento", al entrar en la aplicación aparece un mensaje para aceptar las condiciones de uso.
Figura 5: Consentimiento para estafarte pedido por la linterna molona |
Afinando la vista se puede ver que la aplicación incluso avisa de que “Pulsando ACEPTAR enviaras el PIN para proceder al ALTA……” Todo ello en letra pequeña y con un contraste mínimo. ¿No lo has visto en la pantalla anterior? Aquí tienes un zoom para que te fijes lo asequible que está.
Figura 6: El consentimiento con el zoom. Haz clic si necesitas más zoom aún. |
Y pulsando en el enlace “Términos y Condiciones” remite a la siguiente URL donde se te avisa del palo que te van a dar como des en Aceptar.
Figura 7: Las condiciones de la estafa que te van a calzar |
La app además va cambiando de proveedores de Servicios Premium y repartiendo las suscripciones a diestro y siniestro en múltiples sitios, con lo que hace más difícil el luchar contra una estafa tan capilarizada.
Parte 4: Y esto es todo amigos
Para más INRI te suscriben a este tipo de servicios que seguro que para muchos de vosotros, como para mí, es absurdo hasta suponer que alguien se pueda creer - y menos un juez - que estos son contenidos por los que a día de hoy se pagaría masivamente.
Figura 8: El servicio por el que seguro que tú pagarías 36 € al mes |
Visto todo esto, y por concluir, podemos decir que un cibercriminal con conocimientos de programación de apps de los que se pueden obtener en un buen curso de desarrollo de apps para terminales móviles o con la lectura del pack BYOD, un poco de mala uva y visión de "negocio", sumados a un sito Web de servicios que ofrece un sistema de registro totalmente inseguro - no sé si intencionadamente o por falta de profesionalidad de los programadores de la misma -, más el control poco exhaustivo de las aplicaciones por parte de Google Play del que tantas y tantas veces se ha quejado todo el mundo, ha propiciado esta estafa.
Seguro que visto el éxito, este negocio se estará dando en más países y que seguramente va a acabar con el cierre de la Web - veremos si además con un multazo por incumplir alguna ley -, y con el cibercriminal con un chalet en la playa, que a ver quién es el guapo que le echa el guante.
Actualización: Como se han detectado más apps maliciosas haciendo uso de este mismo esquema se ha subido esta app a Google Play que comprueba que apps por sus permisos podrían realizar esta estafa, para que tengas cuidado.
Figura 9: app para Stop SMS Scam |
Autores:
José C. Agudo & Miguel Ángel Cardenete
XDXD!!! vaya tela!
ResponderEliminarA mi mujer le pasó algo parecido con una aplicación de recetas de CupCakes.
ResponderEliminarCon primer mensaje que recibió vino a alertarme y de forma instintiva lo primero fué mandar BAJA a ese mismo número y recibir el correspondiente mensaje de proceso de la baja.
Hay gente muy ruín.
Muchas gracias por la info!
ResponderEliminarLa verdad que no tenia ni idea de esto, ahora toca difundir y alertar a los mas cercanos y por las distintas redes "socilales" creo que es de vital importancia el que ha un asunto como este se le de la importancia que le corresponde para que la gente tome consciencia y no le de en aceptar tan deliberadamente los permisos de las Apps.
Gracias y Salu2!
Y como lee tu número de teléfono?
ResponderEliminarEn Android no hay ningún API que permita a una aplicación saber el MSISDN del SIM.
Y si no pude mandar SMS no veo comop pude subscribirse a un numero de tarificación adicional.
Muy interesante...
ResponderEliminarLa verdad que es dificil saber que es mejor, si el market ultra-restringido de Apple, o el de Google con quizas demasiada manga ancha.
Imagino que es un termino medio estará la virtud (as usual)
A Beemer,
ResponderEliminarMira este artículo
Como leer el numero de telefono en Android
Por otro lado aprovecho para pedir públicamente que las operadoras tengan desactivado el servicio premium al igual que los telefonos de tarificación especial y que sea el usuario final quien llame para autorizarlo.
Esta estafa está basada en tres pilares.
- Los operadores tienen activado por defecto los servicios premium.
- La web de servicios es insegura al permitir a un robot darse de alta y validarse.
- La capacidad de la app para viralizarse a través de facebook.
Esto en manos de un programador con mala leche se ha convertido en una micro-estafa de las gordas.
Un saludo
Beemer, en el artículo explica tu segunda pregunta. Es posible suscribirse a estos servicios rellenando un formulario html por internet donde pone el número de teléfono, y confirmarlo también por internet poniendo el pin recibido. De forma que la aplicación no necesita enviar sms para hacerlo, sólo necesita acceso a internet para rellenar dichos formularios y leer sms para saber el pin.
ResponderEliminarConozco a una persona que ha estado trabajando en un sitio que se dedican a hacer esto mismo.
ResponderEliminarSon simplemente unos listos que se han contratado a un par de programadores para crear copias de aplicaciones para Android y luego ellos meten un sistema de SPAM esencialmente enviando datos personales del usuario del teléfono a servidores propios y luego utilizarlos en listas de SPAM.
¿El problema? Que ahora mismo todavía no queda muy claro hasta qué punto es ilegal o no, pues entre la lista de permisos y con que te muestren un texto enorme al principio (que nadie va a leer) sobra para cubrirse las espaldas.
Gracias por compartir este problema; si me permitís el autobombo, en su día (2008) publiqué en mi blog lo inseguro de este sistema de altas, desde otra perspectiva aun más perversa, lo comparto: http://www.samuelparra.com/2008/09/08/cualquiera-puede-suscribirte-a-movilisto/
ResponderEliminarEsto es una estafa, un delito penal que debería denunciarse ante la policía, simplemente.
ResponderEliminarEl peligro hoy en día de instalar una aplicación de origen dudoso en el móvil es enorme. Un gran porcentaje de la gente acepta indiscriminadamente los permisos solicitados.
ResponderEliminarPor poner un ejemplo, una aplicación que pueda acceder al almacenamiento compartido (SD) y tenga acceso a internet, puede dedicarse a subir todo su contenido a la red sin conocimiento del usuario.
Yo personalmente uso el firewall para intentar mitigar esto (por ejemplo, una aplicación de linterna no tiene sentido que te pida internet), pero claro, para empezar eso requiere acceso root al dispositivo con lo cual no es un sistema válido para el usuario de a pie.
En cualquier caso, para mí en este caso el problema está fundamentalmente en el proveedor, montar un sistema de confirmación de servicios premium automatizable es absurdo (bueno, no tan absurdo para ellos porque su objetivo es ganar dinero mientras estén dentro del marco legal, pero está feo)
Una pregunta, ¿la app tiene permisos para borrar el SMS de registro forma que el usuario no lo perciba? Porque si no lo borra al menos tienes un indicio y puedes reaccionar rápido.
@José Carlos Agudo
ResponderEliminarprueba tu mismo el código del enlace que publicas: No funciona. Al menos no funciona con ninguna operadora española en ninguna versión de Android.
Lo he probado de todas las maneras que he encontrado en la web. El MSISDN no está en la SIM.
@Beemer:
ResponderEliminarEs posible que no funcione en algunos terminales.
Pero a mi colega, le han estafado los 2 pavos y sin dar el telefono para nada.
Te propongo que te descargues la linterna y dejes activado en tu operador los servicios premium "para ver si funciona" ;)
Coña aparte, el numero de quejas que hay en Vodafone es preocupante y da una idea de que la app consigue el Nº del telefono en el que se instala de alguna forma.
Un saludo
Soy muy feliz desde que uso XPrivacy.
ResponderEliminarcomo dice kabracity, es absurdo que una aplicación "linterna" te pida permiso para acceder a internet, a la tarjeta SD y a la base de datos de la NASA.
ResponderEliminarCuando instalo aplicaciones tipo linterna y me piden acceder a todo, les digo que NO. Y si entonces no me deja continuar, elimino la aplicación y listo.
Este comentario ha sido eliminado por el autor.
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminar@Beemer
ResponderEliminarProbado el codigo y si es cierto que no funciona!!. Lo cual lo hace mas divertido!! Nuevo reto: Como conseguir el numero de telefono..os animo a colaborar a destripar la aplicación. Que para eso estamos....
Recomiendo llamar al operador y pedir que bloqueen los servicios sms premium. A mi en Yoigo incluso de devolvieron los 40 € que me habían cargado
ResponderEliminarComentándolo con un amigo, me ha hecho darme cuenta de que el acceso a internet esté justificado por la publicidad. Que eso es otra cosa, yo creo que los permisos deberían ser granulares, y en concreto el de google ads se podría definir como permiso independiente. Porque darle permiso de "Internet" a una aplicación es darle mucho.
ResponderEliminarEn cuanto a lo del número de teléfono, ese método funcionaba al menos con Vodafone en Android 3.x (fue cuando lo probé). Recuerdo que por aquel entonces en Movistar no me funcionaba, Vodafone+Orange sí.
Parece que hay algunas dudas en cuanto a como consiguen el número de teléfono. Voy a intentar ver como lo hacen. El código esta ofuscado y lo mismo me lleva algo de tiempo. El caso es que lo consiguen. Me resulta más raro aceptar que sean capaces de saltarse el permiso SEND_SMS utilizando algo como:
ResponderEliminarhttp://www.csc.ncsu.edu/faculty/jiang/send_sms_leak.html
Sobre todo por que la versión de android es 4.3. Supongo que estará corregido ya...espero...
Los permisos del Android Manifest no son negociables: o los aceptas o NO te instala la app.
ResponderEliminarY las apps con publicidad son un peligro en sí mismas.
La política de seguridad que yo sigo es: instalar solo apps que vengan de sitios conocidos (mirando el nombre de la empresa, no de la app) y que no lleven publicidad (aunque tengan que ser de pago).
Con eso ya lo peor que me puede pasar es que los Angry Birds le manden mis datos a la NSA.
No sé si alguno me podéis aconsejar algo mejor (a parte de tirar el teléfono, que también se me ha ocurrido)
Este comentario ha sido eliminado por el autor.
ResponderEliminarLas operadoras, o en este caso Vodafone, no tienen la culpa de que otorgues permisos de lectura de SMS a la aplicación. Si para solucionarlo, se obliga al usuario a enviar el SMS de "ALTA", la app podría solicitar permisos para enviar SMS y volvería a saltarse la restricción (porque la mayoría de usuarios lo aceptarían).
ResponderEliminarPara solucionarlo del todo, ese PIN te lo deberían mandar al email, que es algo que la app no puede leer. Pero claro, si seguimos aumentando la seguridad al final disminuye la "usabilidad".
Saludos.
En el mismo enlace de stackoverflow puesto en un comentario anterior, hay otra respuesta que apunta a obtener el número a través de Whatsapp:
ResponderEliminarhttp://stackoverflow.com/a/17121105
Yo soy un luser de primera, licenciado en ciencias sociales, así que cualquier cosa que diga puede ser una estupidez. Aún así, Yo tengo un Samsung Galaxy Note al que le cambié la rom que traía por defecto y le instalé un fork de CM. Lo que vi hace un tiempo es que en la opción de privacidad esta rom incorpora una especie de capador de permisos en el que uno puede elegir a qué pueden acceder las apps que tiene y a qué no. No sé si realmente funciona o es una parida testimonal para gente como yo, pero yo sí lo tengo activado. ¿Alguien sabe sobre esto?
ResponderEliminarparece que los conocimientos informaticos no tienen limites, ni buenos ni malos.
ResponderEliminarTal como ponen aquí, http://stackoverflow.com/a/17121105, quizás saquen el número de teléfono de algún programa de mensajería estilo WhatsApp que debe estar instalado en el 95% de los terminales con acceso a internet.
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminar@macardenete
ResponderEliminarBueno como lo prometido es deuda, he seguido revisando el codigo como he estado haciendo estos días antes de enviarselo a Chema. Cuesta un poco porque esta ofuscado con proguard pero siguiente el hilo he encontrado algo como esto:
Account[] arrayOfAccount = AccountManager.get(this).getAccounts();
String numero="";
for(int i=1;1<arrayOfAccount.length;i++){
Account localAccount = arrayOfAccount[i];
if (!localAccount.type.equals("com.whatsapp")) {
numero = localAccount.name;
}
}
Confirmado por tanto que usan o pueden estar usando la cuenta de Whatsup.
En mi movil que es un Galaxy S3 y es el mismo donde se inicio la historia funciona OK este codigo..
@macardenete
ResponderEliminarConfirmado por tanto, que utilizan o podrían utilizar whatsup (entre varios metodos)...
Tambien he encontado dentro del código:
this.a = ((TelephonyManager)paramContext.getSystemService("phone"));
....
str = this.a.getLine1Number();
Esto en mi Sangsung galaxy falla, quizas hagan un intento con TelephoneManager y si falla intenten con la cuenta de Whatsup o por mas métodos...
Código original ofuscado:
ResponderEliminarAccount[] arrayOfAccount = AccountManager.get(this.e).getAccounts();
.......
for (int j = 0;; j++)
{
.....
if (!localAccount.type.equals("com.whatsapp")) {
break label333;
}
this.f = 'W';
-----
En Pepephone esto no pasa, al no tener soporte para SMS Premium.
ResponderEliminarLas compañias deberian tenerlo desactivado por defecto y no al contrario
ResponderEliminarA la vista de esta información, otro permiso que no habíamos comentado a raíz de esto es el de "GET ACCOUNTS", que es al final el que está explotando para conseguir el número de teléfono cuando el otro método falla.
ResponderEliminar@Oxido: Imagino que lo que hay en el fork de CM (no tengo CM a mano) es algún tipo de gestión de privacidad usando AppOps. Si es así por lo que estuve mirando te permite limitar algunas cosas, pero no tantas como uno quisiera desde luego
Hola muchachos, busco el archivo para analysis, podrian informar el MD5 o link en VirusTotal?
ResponderEliminarGracias de antemano
Un post muy interesante y a tener muy en cuenta.
ResponderEliminarUna entrada muy asequible, entendible, interesante y útil para muchos.
ResponderEliminar¡Muchas gracias!
Eso sí, echar un ojo a esto:
http://www.elandroidelibre.com/2014/01/asi-estafa-una-app-de-android.html
Cuando lo he visto no tenía ni referencia a esta página ni un link al original, de hecho nada hacía ver que el artículo estaba "inspirado" en otro.
Gracias de nuevo.
JR Baz
Ahora me he quedado fria pensando que he podido descargar alguna App con permiso xa leer SMS, todos recibimos SMS con cosigoa y PINs de activacion!! Podrias indicarme donde revisar si he autorizado esta accion a alguna app, o si existe alguna opción en la configuracion del smartphone xa evitar esta accion?? Mil gracias!
ResponderEliminarMuy bueno el post, por cierto!!
Muy buena información para esos usuarios que no tienen cuidado con la seguridad de sus celulares, algo que es cada día mas necesario. Gracias por compartir la valiosa información en este excelente Blog.
ResponderEliminarY mi duda es: ¿Hasta que parte esto es ilegal? ya que el creador avisa de una manera oculta "pero visible" de las verdaderas intenciones de lo que quiere...No es por quitar la culpa al creador, pero si el pone unos terminos y no los lee el usuario es culpa suya tambien...
ResponderEliminarNo se ¿como actua la ley ante estas situaciones?
Un saludo y gracias
Uso un movil de hace cuatro años, sin Internet, pijadas varias y una bateria que me dura tres días o cuatro.
ResponderEliminarViendo estas cosas creo que voy a seguir así mucho tiempo.
Saludos
Este comentario ha sido eliminado por el autor.
ResponderEliminarMuy buena pregunta 53n553y, este tipo aplicaciones funcionan lo mas cercano posible a la legalidad... Por eso es importante su difusión. Pero por ejemplo, ¿que pasa si el móvil lo tiene un menor, es suficiente pulsar un botón para dar de alta, se comprueba de alguna forma?. El mensaje en envía Vodafone que dice textualmente: "Esta solicitando un servicio de suscripción de SMS de pago, para finalizarla inserte el PIN: 1234 en la WEB. Mas info. en la WEB del proveedor"
ResponderEliminarPregunto: " ¿A quien se dirige este mensaje de seguridad a mi o a un maquina automática?" Se dirige a la persona, entonces ¿no está la aplicación en cierta forma suplantándome? No creo que sea esa la intención del servicio. Una aplicación podría darse de alta si avisar y se puede hacer y es lo peligroso. Pero normalmente intentan hacerlas lo mas cercanas posibles a la ley. En mi opinión y para la sociedad en general es un fraude y la ley debe estar al servicio de la sociedad si hace falta un cambio de Ley que se haga...o simplemente que las operadoras tomen medidas. El tema legal lo dejo para que la Justicia decida, puede que incluso sea todo legal. Pero el fallo de seguridad que es mi campo existe. Y difundirlo es necesario...
Para darse de baja en Movistar de toda suscripción, darse de alta en http://pagos.movistar.es/ y desde ahí se gestionan.
ResponderEliminarHola!
ResponderEliminarSoy Albert, uno de los founders de Appszoom.
Sólo comentaros que Appszoom re-dirige la descarga directamente a Google Play o a Appstore, así que si en el market desaparece la aplicación, nadie puede descargársela aunque la haya encontrado en nuestro site. Así nos aseguramos que sólo hay descargas de aplicaciones vigentes y válidas en los markets.
Además comprobamos periódicamente el inventario de aplicaciones de Android y iPhone directamente en la fuente, por lo que en poco tiempo esta aplicación hubiera desaparecido de nuestro catálogo. En este caso, por haber sido detectado, lo hemos hecho manualmente y ya no está visible en nuestro site.
No dudéis en escribirnos directamente si encontráis alguna otra cosa rara. Estamos en hello at appszoom dot com
Gracias!
Gracias a vosotros, si sabia que has descargas son una especie de redireccion. Solo quedaban algunos sitios con redirecciones y el cache de google....gracias de nuevo a vosotros por el interes...
ResponderEliminarY por haberla retirado Albert. Dice bien de vuestra profesionalidad.....
ResponderEliminar@Miguel Angel.
ResponderEliminarMuy bueno. Gracias por el análisis del código.
La pregunta de oro es porqué Wassap concede permisos a otras aplicaciones para ver el número de teléfono, que en Wassap se lo hemos introducido pero no autorizado a que lo comparta.
Yo tengo esa aplicacion de la linterna que la baje al verla en facebook y a mi no me a pasado nada de lo que estoy leyendo, me funciona bastante bien.
ResponderEliminar@Beemer
ResponderEliminarEl permiso GET_ACOUNTS te permite obtener información sobre el nombre de usuario de todas las cuentas personales. Es decir usuario de Facebook, Twitter, Google, Whatsup, Hotmail. Y Whatsup utiliza como nombre de usuario el número del teléfono. Se supone que el guarda los datos de su cuenta y es el usuario el que da permiso de acceso a estos datos.
Cuidado por tanto con el permiso GET_ACCOUNTS.
Aparece en las aplicaciones como:
"descubrir cuentas conocidas" y pinchando dice como información:
"Permite a la aplicación acceder a la lista de cuentas del teléfono" entre ellas Whatsup. Es decir, con este permiso no solo se accede al numero de teléfono de la cuenta de whatsup, sino también a tus direcciones de correo, nombre de usuario de twitter, y de todas las cuentas que tengas.....Un aplicación con este permiso sería capaz de enviar direcciones de correos y números de teléfono de todos los usuarios a sus servidores y almacenar datos de cientos de miles de personas...
A Lorena Moreno:
ResponderEliminarHe visto anunciado esto en Twitter (vía @mikko):
https://play.google.com/store/apps/details?id=com.fsecure.app.permissions.privacy
Pero no te puedo dar referencias.
BTW: Estoy aprendiendo mucho con los comentarios; gracias a todos
@JR Baz Hola, soy David Pérez, redactor del artículo que citas. Sólo quería decir que, además de citar el nombre de los dos autores al principio, el artículo tiene un enlace que lleva a este artículo. Normalmente citamos todas nuestras fuentes (no es la primera vez que se nos acusa de copiar), y más en un caso como este en el que todo el mérito lo tienen los autores.
ResponderEliminarPor otra parte y aprovechando el comentario, mis felicitaciones a los dos, es un gran trabajo que nos sirve para estar prevenidos y aprender ^^
Un saludo!
Buenísima la explicación y, por lo que veo, también el análisis previo que habéis hecho. Muchas gracias José C. y Miguel Angel por ayudarnos a desenmascarar y entender estos engaños y a no caer en ellos.
ResponderEliminarAcabo de ver un anuncio que aparece como patrocinado en facebook. Que te lleva a http://www.bromapantallarota.com Casualmente de Crazy Network y casualmente es una simulacion de pantalla rota que pide permisos de Leer SMS y get Accounts. Creo que sobra analizarla....blanco y en botella. Que os parece crear el hashtag #estafasSMS y dar avisos por ahí
ResponderEliminarParece que los tipos que ha desarrollado www.bromapantallarota.com son los mismos. Lee el pin del SMS y envian los datos al servicio web:
ResponderEliminarhttp://v3.api.bettyads.com/do.php
Podeis ver que da una respuesta JSON.
Incluso tiene incorporado un paquete llamado com.bettysdk donde esta todo el tinglado. Esta gente tiene librerias malware para incorporarlas a muuchas aplicaciones. Como un camaleón...jajaja saludos
Este comentario ha sido eliminado por el autor.
ResponderEliminarHe subido una aplicacion al Market que te detecta las aplicaciones instaladas que pueden ocasionarte gastos. Os saldra si teneis instalada algunas de estas aplicaciones:
ResponderEliminarhttps://play.google.com/store/apps/details?id=es.cardenetedev.stopsmsscam
Saludos
Hola! A mi me ha pasado al descargar la linterna molona pero a mi ni a mi pareja nos han pedido autorizacion por sms, directamente nos dieron de alta en un servicio premiun, nos enviaban 2 o 3 sms al dia de publicidad de videoclips de musica. Nos cobraron 20 euros a cada uno pero reclamamos a vodafone este importe y nos lo han devuelto. Ademas de llamar la atención a la empresa que me lo gestionó sin permiso.
ResponderEliminarNo, si efectivamente no avisan, todo el proceso es automático. Lee tu numero de teléfono, inicia la gestión, recibes el SMS, no te da tiempo ni a leerlo, la aplicación lo lee antes que tu, lo captura y verifica el Pin y en 5 seg primer mensaje Premium.
ResponderEliminarEstas aplicaciones solo necesitan:
Permiso de leer cuentas para obtener tu número de teléfono.
Permiso de leer sms y conexión a Internet. Esos tres permisos no son de pago.
He desarrollado una pequeña aplicación (post anterior) para detectar los permisos que necesita junto a otros. Muestra una lista de las aplicaciones con permisos sospechosos instaladas y también estos tres permisos sin coste pero que si que te cuestan el dinero.
La gente de Panda esta dando la alerta (pero con algo de retraso...jajaja) en la página de Chema son mas rápidos!!!.
Vaya!Despues de escanear la pagina http://www.clubmegaocio.com/ como resultado me ha devuelto algo interesannte.Un numero sin fin de telefonos, todavia en ALTA.Se puede ver una de las lista de 2013,en.http://www.clubmegaocio.com/callbacks/calls/calls_30102013.txt
ResponderEliminarHay otras, tambien largas. La pagina es controlada creo remotamente,por git y desde https://bitbucket.org/account/signin/?next=/virtualbay/clubmega.git En la http://www.clubmegaocio.com/.git/logs/HEAD se puede ver el correo que ultiliza el propeatario para aceder desde bitbucker.No he probado si las contraseñas(creo SHA1) valen, pero el correo lo he comprobado y con el, entra en la pagina de bitbucker.Este es mi granito de arena...
Vaya, grano de arena pero de los gordos, aparecen todas las altas/Bajas por fechas cambiando el nombre del txt. Y algunos nombres de desarrolladores, ese tipo (J.T) de VirtualBay no era cofundador de SeriesYonkis?
ResponderEliminarLo demas parecen id de los commits del reposotorio de Bitbucket, donde tendrán el codigo fuente de la pagina
A mí pareja de la sucedido esto!! Vodafone lleva 2 meses cobrándole por mensajes de Air Eibites y dicen que ellos no son responsables, cuando nosotros no hemos recibido ningún SMS ni hemos autorizado nada...
ResponderEliminarLeído todo el artículo, supongo que se habrá infectado el móvil con un malware de estos...en teoría desde la compañía de Vodafone nos han comentado que ya está restringido el acceso a mensajes premium, pero no mefió para nada de ellos, dado que hacen caso omiso a la reclamación que hemos interpuesto.
Por ello, además de instalar el Stop Estafas SMS Premium..hay alguna otra aplicación que le pueda servir para analizar el movil y detectar todos los "virus" y que en efecto no le vuelva a suceder!!
Muchas gracias!!
Pues Vodafone no se hace responsable pero si te lo pueden restringir, a mi me paso lo mismo pero me di cuenta a tiempo y esto me llevó a analizar la aplicación para ver como lo habían hecho. Debería ser suficiente con restringir los SMS Premium y tener controlados los permisos de las aplicaciones. No solo por el dinero sino también porque pueden espiarte, enviar tus localizaciones a un servidor, leer correos, leer SMS de los códigos de confirmación de un banco por ejemplo etc...
ResponderEliminarA mí también me la colaron esta panda de estafadores. Muy buen artículo, por fin me he enterado cómo demonios funciona
ResponderEliminar¿No se podría denunciar la web clubmegaocio por mostrar públicamente esos números de móviles a la agencia de protección de datos (AGPD) del país donde este alojada la web?
ResponderEliminarFui víctima de una gran estafa. El culpable era un hombre que se dice que es empresario del medio ambiente petróleo que tenían que ser urgente en África. A su llegada, él me hizo signo de vida y hemos hablado de Skype para la semana. Después de esto, él me dijo que fue víctima de un asalto y me pidió ayuda, es a partir de este momento que empezó mi Calvario, pasé hasta 12.800 euros. Dada la situación, me he quejado a mi gendarmería pero nada se ha hecho porque el culpable siendo en África por lo que tengo cerca servicio interpol lucha contra fraudes en internet en África que tomaron mi expediente en la mano y esta persona posando para un francés fue arrestada y luego recuperé mi dinero como compensación. Seamos vigilantes en internet y especialmente en las redes sociales, así que si crees ser víctima de una estafa, puede hacer contacto con la Interpol servicio y le ayudará a detener su estafador, aquí está su dirección de correo electrónico:
ResponderEliminarinterpol.police.antiarnaque@gmail.com
Abra los ojos y atención a los perfiles falsos.