La semana pasada, Avast informó al equipo de seguridad de Google de 80 aplicaciones pertenecientes a una campaña de estafa de SMS premium, según la cual las aplicaciones maliciosas apuntan a las víctimas a costosos servicios de SMS premium.
La notificación llevó a su rápida eliminación de Google Play Store. Las aplicaciones detectadas por Avast forman parte de la campaña UltimaSMS, compuesta por 151 aplicaciones que en algún momento han estado disponibles para su descarga en Google Play Store. Estas aplicaciones se han descargado más de 10,5 millones de veces, y son casi idénticas en estructura y funcionalidad; esencialmente copias de la misma aplicación falsa utilizada para difundir la campaña de estafa de SMS premium. Esto sugiere que un actor o grupo está detrás de toda la campaña, que ha sido denominada “UltimaSMS”, en alusión a una de las primeras aplicaciones detectadas, Ultima Keyboard 3D Pro.
Las aplicaciones falsas presentan una amplia gama de categorías, como teclados personalizados, escáneres de códigos QR, editores de vídeo y fotos, bloqueadores de llamadas de spam, filtros de cámara y juegos, entre otros. UltimaSMS parece ser una campaña global, ya que según los datos de Sensor Tower, una empresa de inteligencia y marketing de aplicaciones móviles, las aplicaciones han sido descargadas por usuarios de más de 80 países.
El experto en seguridad Akub Vávra, de Avast, escribe en el blog de la empresa que cuando un usuario instala una de las aplicaciones, ésta comprueba su ubicación, la Identidad Internacional de Equipo Móvil (IMEI) y el número de teléfono para determinar el código de área del país y el idioma que debe utilizar para la estafa. Una vez que el usuario abre la aplicación, una pantalla, localizada en el idioma en el que está configurado su dispositivo, le pide que introduzca su número de teléfono y, en algunos casos, su dirección de correo electrónico para acceder a la función anunciada de la aplicación.
Algunos de los avisos que los usuarios pueden encontrar al abrir las aplicaciones difieren según el país y están localizados. No todas incluyen una letra pequeña que advierte a los usuarios de los posibles cargos.
Al introducir los datos solicitados, el usuario se suscribe a servicios de SMS premium que pueden costar más de 40 dólares al mes, dependiendo del país y del operador de telefonía móvil. En lugar de desbloquear las funciones anunciadas de las aplicaciones, estas muestran otras opciones de suscripción de SMS o dejan de funcionar por completo. Aunque algunas de las aplicaciones incluyen información en letra pequeña, no todas lo hacen, lo que significa que muchas personas que introdujeron sus números de teléfono en las aplicaciones podrían no darse cuenta de que los cargos adicionales en su factura telefónica están relacionados con las aplicaciones.
Una vez suscritos, los SMS premium se cobran semanalmente con el importe máximo posible en el país del usuario. Muchos países limitan la cantidad de cargos por SMS premium que pueden producirse en una semana. El usuario puede ser notificado por su operador de los cargos excesivos, pero también podrían pasar desapercibidos durante semanas o meses. Los usuarios afectados pueden descartar las aplicaciones como no funcionales y desinstalarlas, a pesar de lo cual los cargos por SMS continúan acumulándose.
Las aplicaciones descubiertas por Avast son esencialmente idénticas en su estructura, lo que significa que la misma estructura base de la aplicación es reutilizada numerosas veces. Estas copias se disfrazan de aplicaciones genuinas a través de perfiles de aplicaciones en la Play Store. Los perfiles presentan fotos llamativas y descripciones de aplicaciones atractivas junto con promedios de reseñas a menudo elevados. Sin embargo, si se examinan más de cerca, tienen declaraciones genéricas de política de privacidad y presentan perfiles básicos de desarrolladores que incluyen direcciones de correo electrónico genéricas. También suelen tener numerosas reseñas negativas de usuarios que han identificado correctamente las aplicaciones como estafas o han caído en ellas.
