Encuentra y llama: filtrado de datos y spam

Ayer se pusieron en contacto con nosotros desde nuestro socio MegaFon, uno de los principales proveedores de teléfonos móviles en Rusia. Nos informaron sobre una aplicación sospechosa encontrada en los mercados de aplicaciones de Apple y Android (Apple App Store y Google Play). A primera vista, parecía que era un gusano SMS que se propagaba enviando mensajes cortos con una URL hacia sí mismo a todos los contactos de la libreta telefónica.

Pero nuestro análisis de las versiones iOS y Android de la aplicación demostraron que no es un gusano SMS, sino un troyano que sube la libreta telefónica del usuario a un servidor remoto. La parte de “replicación” la hace el servidor: desde el servidor remoto, se envían los mensajes SMS a todos los contactos en la libreta telefónica del usuario, con la URL que dirige a la aplicación.

La aplicación se llama “Find and Call” (encuentra y llama) y se puede encontrar tanto en la Apple App Store de iOS como en Google Play de Android. Ya hemos informado a Apple y Google sobre la amenaza, pero todavía no hemos recibido ninguna respuesta.

Find and Call en Apple Store

Find and Call en Google Play

Los usuarios han dejado comentarios expresando su disgusto (tanto en Apple Store y Google Play) y quejándose de que la aplicación envía spam SMS:

Comentarios negativos

Después de la instalación, aparece el siguiente icono en la pantalla de inicio de Android/iOS:

Si el usuario ejecuta esta aplicación, se le pedirá que la registre con su dirección de correo electrónico y número de teléfono móvil (no se comprobará la validez de ninguno de estos campos). Si el usuario quiere “encontrar amigos en una libreta telefónica”, se suben los datos de su lista de contactos en secreto (sin mostrar EULA/términos de uso/notificaciones) a un servidor remoto con el siguiente formato:

http://abonent.findandcall.com/system/profile/phoneBook?sid=

Estas son las rutinas que se utilizaron para subir la libreta telefónica al servidor remoto:

rutina en iOS

rutina en Android

Lista de campos extraídos de la libreta de direcciones:

Ambas aplicaciones también son capaces de subir las coordenadas GPS del usuario al mismo servidor, pero en realidad esta “característica” no es tan nueva para las aplicaciones maliciosas y legales.

¿Qué pasa después? El usuario puede seguir usando la aplicación pero esta, al mismo tiempo, roba la información del aparato (la libreta telefónica y los números de teléfono móvil almacenados) y los sube a un servidor remoto que se usa en campañas de spam SMS. Cada número de la libreta telefónica recibe un SMS spam que le pide que pulse en una URL para descargar la aplicación “Find and Call”. Vale la pena mencionar que se incluye el número de teléfono móvil del usuario en el campo “de”. En otras palabras, la gente recibirá un mensaje SMS spam de una fuente de confianza.

Mensaje SMS spam (“Ya estoy aquí, y es mucho más fácil contactarme gracias a esta aplicación gratuita [URL]”)

Pequeña sección de Preguntas Frecuentes

1. ¿Son maliciosas estas aplicaciones?
Sí

2. ¿Por qué?
Ambas aplicaciones suben la libreta telefónica del usuario a un servidor remoto y la usan para enviar spam por SMS. Por eso las detectamos como Trojan.AndroidOS.Fidall.a y Trojan.IphoneOS.Fidall.a

3. ¿Quién las creó?
Buena pregunta. Hay un par de datos adicionales que son muy interesantes. El sitio web de esta aplicación te permite (después de iniciar la sesión en tu cuenta) “ingresar” los datos de tus cuentas de redes sociales, cuentas de correo (parece que también se utilizarán estos datos) y hasta tu información de PayPal (!) para agregar dinero a tu cuenta.

Si tratas de agregar alguna cantidad de dinero, notarás que en realidad estás transfiriéndolo a una compañía llamada ‘LABWEALTH.COM PTE. LTD.’

Si revisas su sitio web, “labwealth.com”, encontrarás una compañía con sede en Singapur llamada “Wealth Creation Laboratory” (Laboratorio de creación de riquezas). ¡Leíste bien! Esta compañía, por cierto, tiene un lema muy interesante: “¡Creemos juntos un mundo lleno de abundancia y prosperidad!”

El malware en Google Play no es ninguna novedad, pero es la primera vez que hemos visto malware en la Apple App Store. Hay que recalcar que no se han descubierto incidentes de malware en la Apple App Store de iOS desde que se inauguró hace 5 años. Pero el problema principal en este caso es, una vez más, la privacidad. No es la primera vez que vemos incidentes en los que se filtran datos personales. Pero es la primera vez que confirmamos que los datos se están usando con malas intenciones.

Estamos seguros de que ambas aplicaciones deben eliminarse de los mercados oficiales lo antes posible. Sí, esos programas maliciosos no son tan “cibercriminalísticos”. Pero el malware vale por lo que es, y en este caso roba la libreta telefónica de un usuario y la utiliza para enviar mensajes spam por SMS. Y estamos seguros de que debería haber una respuesta estricta y pronta a este tipo de incidentes. Punto.

Muchas gracias a mis colegas Igor Soumenkov, Aleks Gostev, Sergey Golovanov, Roman Unuchek y Costin Raiu. También quiero agradecer a iPad 2, Samsung Galaxy SII e iPod Touch.

Actualización

El blog ruso AppleInsider.ru publicó un artículo sobre la misma aplicación. Se pudieron poner en contacto con el autor de Fidall y recibieron la siguiente respuesta:

(c) AppleInsider.ru

[Traducción]

Re: Trabajo en la aplicación

System está en un proceso de evaluación beta. Si alguno de los componentes falla, se envían mensajes SMS de forma espontánea, invitando a unirse al servicio. Esta falla se está arreglando. Los SMS los envía el sistema, por lo que esto no afectará a tu cuenta de teléfono móvil.

Actualización 2

Se confirma el envío de spam a los correos electrónicos

Actualización 3

A las 4:13 PM (GMT) del jueves, al contrario de lo que dicen algunos informes públicos, las iOS maliciosas y las aplicaciones de Android siguen disponibles en los mercados virtuales.

Actualización 4
Ambas aplicaciones se eliminaron de la Apple Store y Google Play.
P.D.
Este es otro dato curioso sobre Fidall. Puedes encontrar valores hexadecimales mágicos en el código, como “’0xBEEFDEAD’ o ‘0xFACEDEAD’ (ver la captura de pantalla de abajo).

“Elaborar” frases con hexadecimales numéricos no es una idea novedosa y, en muchos casos, ya lo hemos visto en diferentes programas maliciosos.