La aplicación realizaba transacciones en línea ejecutadas en segundo plano
Un equipo de expertos en seguridad en redes detectó un número sospechosamente alto de intentos de transacciones en línea provenientes de smartphones de la marca Alcatel con sistema operativo Android, por lo que decidieron indagar a profundidad en el tema. Durante la investigación, los expertos descubrieron que una aplicación preinstalada dedicada al pronóstico del clima extrae gran cantidad de datos de los usuarios y es la responsable de tales intentos de transacciones.
La APK lleva el nombre de com.tct.weather y fue firmada por TLC Corporation, empresa china de tecnología, fabricante de los dispositivos Alcatel y Blackberry. Acorde a los expertos en seguridad en redes, esta aplicación recopila y transmite a un servidor en China datos como ubicación, dirección email o clave IMEI, además de contar con una serie de permisos demasiado invasivos. La aplicación también se encuentra en Google Play, cuenta con más de 10 millones de descarga y una puntuación de 4/5.
De no haber sido bloqueada, la actividad maliciosa de esta app seguramente habría afectado a los usuarios de equipos Alcatel en países como Brasil, Malasia o Nigeria, cargándoles costos por alrededor de 1 millón 500 mil dólares. Los expertos reportan que las transacciones se realizaban en segundo plano, por lo que los usuarios no eran capaces de detectar algún comportamiento anómalo en la app.
Estas transacciones fueron detectadas entre julio y agosto de 2018, principalmente en Malasia y Brasil, y fueron ligadas principalmente a los modelos Alcatel Pixi 4 y A3 Max. Algunas operaciones similares fueron detectadas en Sudáfrica, Nigeria, Egipto y Túnez, donde la APK también ha sido bloqueada.
Los expertos en seguridad en redes responsables de la investigación lograron conseguir algunos de estos dispositivos para analizarlos en un laboratorio. En uno de estos smartphones (un Alcatel A3 Max) fueron detectados más de 500 intentos de transacciones en tan sólo un mes. La mayoría de los usuarios se quejaron de la aparición de cobros no deseados, además reportaron el sobrecalentamiento de sus dispositivos (debido al uso del CPU).
Intento de fraude, consumo de datos y mal uso de información personal
Estos dispositivos fueron analizados en un entorno de “sandbox”, donde se registró todo su tráfico de red. Durante este proceso, los expertos descubrieron que la aplicación recopila los datos de identificación del dispositivo, además de la dirección email y la ubicación del usuario.
Cuando el dispositivo fue colocado en el sandbx la app comenzó a ejecutar en segundo plano accesos a diversas páginas web con anuncios digitales. La aplicación interactuaba con esos anuncios sin la autorización del usuario. La aplicación suscribía al usuario a servicios Premium de diversas páginas web, cargando los costos a la factura del plan tarifario.
Más de dos millones de intentos de transacción fueron bloqueados en Brasil entre julio y agosto de 2018, originados en 128 mil 845 dispositivos diferentes. Por otra parte, en Kuwait fueron bloqueados más de 78 mil intentos de transacción desde dispositivos Alcatel en el mismo periodo de tiempo. Respecto a la versión de la app disponible en Google Play, ésta continuó disponible en la plataforma hasta el pasado sábado 5 de enero, fecha en la que esta app maliciosa fue removida por el equipo de Google.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad