El malware MobOk se esconde en falsas app de edición de fotos

Ana Suárez,
Malware

El objetivo era suscribir al usuario a páginas web que ofrecen un servicio a cambio de un pago diario que se carga a la factura del teléfono móvil.

Expertos de Kaspersky han descubierto que MobOK, un malware para el robo de dinero se encontraba oculto en aplicaciones de edición de fotos aparentemente legítimas disponibles en la tienda de Google Play. Al momento del hallazgo, las apps Pink Camera y Pink Camera 2 habían sido instaladas alrededor de 10.000 veces.  

Estas aplicaciones fueron diseñadas con el propósito de robar información personal y utilizarla para inscribir a los usuarios a servicios de suscripción de pago. Sería en el momento de recibir la factura de sus servicios móviles cuando las víctimas descubrirían el robo.  

El malware de MobOK es un backdoor, o un troyano de puerta trasera, uno de los malware más peligrosos debido a que ofrece al atacante un control casi total del dispositivo infectado. A pesar de que el contenido que se sube a Google Play se filtra de una manera más exhaustiva, esta no es la primera vez que las amenazas llegan a los dispositivos de los usuarios.  

En la mayoría de los casos, los backdoors llevan una capa semi-funcional que a primera vista parece ser un intento pobre, pero inocente, de crear una aplicación legítima. Por esto, las apps de Pink Camera no despertaron sospechas, porque incluían funcionalidades de edición de fotos auténticas y habían sido descargadas de la tienda de Google Play. Aunque actualmente ya se han eliminado de la tienda. 

Sin embargo, en el momento en el que los usuarios comenzaban a editar sus imágenes utilizando dicha aplicación, estas solicitaban acceso a las notificaciones y ahí arrancó la actividad maliciosa en segundo plano. El objetivo era suscribir al usuario a servicios de suscripción móvil, que aparece como una página web que ofrece un servicio a cambio de un pago diario que se carga a la factura del teléfono.  

Una vez la víctima ya estaba infectada, el malware MobOK recopilaba información del dispositivo, como el número de teléfono asociado para explotar esta información en posteriores etapas del ataque. Más tarde, los atacantes enviaban al dispositivo infectado detalles de las páginas web con servicios de suscripción de pago y el malware los abría como un navegador secreto en segundo plano. Utilizando el número de teléfono extraído anteriormente, el malware lo insertaba en el campo “subscribirse” y confirmaba la compra. Al tener el control total del dispositivo y poder comprobar las notificaciones, el malware introducía el código de confirmación del SMS cuando llegaba, todo ello sin avisar al usuario. La víctima comenzaba a incurrir en gastos y continuaba haciéndolo hasta que detectaba los pagos en su factura telefónica y cancelaba la suscripción a cada servicio. 

Igor Golovin, investigador de seguridad de Kaspersky señala: “La capacidad de edición de fotos de las apps Pink Camera no era muy impresionante, pero lo que podían hacer entre bastidores era notable: suscribir a personas a servicios maliciosos y lucrativos en ruso, inglés y tailandés, monitorizar los mensajes de texto y solicitar el reconocimiento de los servicios online de Captcha (el código que hay que escribir para demostrar que no es un robot). Esto significa que también tenía el potencial de robar dinero de las cuentas bancarias de las víctimas. Nuestra teoría es que los atacantes detrás de estas aplicaciones crearon tanto los servicios de suscripción -no todos los cuales eran auténticos- como el malware que enganchaba a los suscriptores, y los diseñaron para llegar a una audiencia internacional”.