Mais um aplicativo malicioso para Android, foi identificado por pesquisadores de segurança. Um falso aplicativo Android SMS, com 100.000 downloads na Google Play Store, estaria atuando secretamente como um retransmissor de SMS para um serviço de criação de contas para sites como Microsoft, Google, Instagram, Telegram e Facebook.
Aplicativo malicioso atuando como retransmissor de SMS para serviço de criação de contas
Um pesquisador diz que os dispositivos infectados são alugados como “números virtuais” para retransmitir uma senha única usada para verificar um usuário ao criar novas contas. Embora o aplicativo tenha uma classificação geral de 3,4, muitos comentários de usuários reclamam que ele é falso, sequestra seus telefones e gera vários OTPs (senhas de uso único) após a instalação.
Um dos comentários dos usuários diz: “Aplicativo falso Acabei de baixar este aplicativo 4-5 vezes de OTP pelo Google, pagamento Airtel, Bank OTP, dream11 OTP, etc. O tipo de OTP vem no momento do login”.
O aplicativo Symoo foi descoberto pelo pesquisador de segurança de Evina, Maxime Ingrao, que o relatou ao Google, mas ainda não recebeu resposta da equipe do Android.
Códigos 2FA de roteamento
Após a instalação no dispositivo, o aplicativo solicita acesso para enviar e ler SMS, o que parece normal, já que o Symoo se comercializa como um aplicativo de SMS “fácil de usar”. Na primeira tela, ele solicita que o usuário forneça seu número de telefone; depois disso, ele sobrepõe uma tela de carregamento falsa que supostamente mostra o progresso do carregamento de recursos.
No entanto, esse processo é prolongado, permitindo que as operadoras remotas enviem vários textos SMS 2FA (autenticação de dois fatores) para criar contas em vários serviços, ler seu conteúdo e encaminhá-lo de volta às operadoras. Quando concluído, o aplicativo congelará, nunca alcançando a interface de SMS prometida, portanto, os usuários normalmente o desinstalarão.
A essa altura, o aplicativo já terá usado os números de telefone dos usuários do Android para gerar contas falsas em várias plataformas online, e os revisores dizem que suas mensagens agora são preenchidas com senhas únicas para contas que nunca criaram.
Como os números de telefone geralmente são a única maneira possível de verificar contas, as pessoas que desejam se envolver em atividades ilegais ou anônimas consideram essas contas pseudônimas úteis.
De acordo com o Bleeping Computer, o desenvolvedor do aplicativo “Virtual Number” também criou outro aplicativo no Google Play chamado “ActivationPW – Números virtuais”, baixado 10.000 vezes, que oferece “Números online de mais de 200 países” que você pode usar para criar uma conta. Usando este aplicativo, os usuários podem “alugar” um número por menos de 50 centavos e, em muitos casos, usar esse número para verificar a conta.
Embora não esteja confirmado, acredita-se que o aplicativo Symoo seja usado para receber e encaminhar códigos de verificação OTP gerados quando as pessoas criam contas usando o ActivationPW.
Se você estiver usando esses aplicativos, desinstale-os, pelo menos, porque eles copiam o conteúdo do SMS para seus próprios servidores.