Ocurre a menudo que se encuentran aplicaciones en la tienda de apps de Google Play; que tienen la capacidad de infectar nuestros teléfonos basados en Android y que, en ocasiones; llevan años haciéndolo, mientras pasan desapercibidos.
Se trata de una aplicación falsa de SMS para Android; que hasta ahora tiene más de 100.000 descargas desde la tienda Google Play; y que actúa en secreto como repetidor de SMS para un servicio de creación de cuentas de sitios como Microsoft, Google; Instagram, Telegram y Facebook.
Lo que sorprende es que la app tiene una calificación de 3,4 sobre 5; y muchos comentarios en los que la gente se queja de los problemas que da y que crea múltiples contraseñas de un solo uso (conocidas por sus siglas en inglés OTP o One Time Password). Además; si entras a la app que sigue aún en Google Play no llega a explicar mucho para qué sirve. Pero aún así ha llegado a las 100 mil descargas. La app se llama Symoo.
Lee también: Elon Musk le ha declarado la guerra a Apple y los acusa de «dictadores»
Según un investigador; los dispositivos infectados pasan a ser alquilados como «números virtuales«; para transmitir un código de acceso que se usa para verificar a un usuario mientras se crean nuevas cuentas en redes sociales.
Al instalarse en el dispositivo, la aplicación solicita acceso para enviar y leer SMS, lo que parece normal; ya que Symoo se comercializa como una aplicación de SMS «fácil de usar«.
En la primera pantalla, pide al usuario que proporcione su número de teléfono; después, superpone una pantalla de carga falsa que supuestamente muestra el progreso de la carga de recursos.
Symoo ya fue retirada de la Play Store
Pero este proceso se prolonga, lo que permite a los operadores remotos enviar múltiples textos SMS de 2FA (autenticación de dos factores); para crear cuentas en varios servicios, leer su contenido y reenviarlo a los operadores. Ahí radica uno de sus principales problemas de seguridad.
Y es que durante todo este proceso la aplicación habrá utilizado los números de teléfono de los usuarios de Android para generar cuentas falsas en varias plataformas online; y los usuarios dicen que sus mensajes pasan a llenarse de códigos de acceso de un solo uso para cuentas que nunca crearon.
Una vez completado, la aplicación se congelará, sin llegar a la interfaz de SMS prometida; por lo que los usuarios suelen desinstalarla. Symoo fue descubierta por el investigador de seguridad de Evina, Maxime Ingrao, que informó a Google. La compañía acaba de retirarla de Google Play Store.