La app Symoo para Android tiene más de 100.000 descargas en Google Play, y ha generado sospechas de ser un malware, la cual ha estado actuando de forma secreta como un repetidor remoto para SMS.
La aplicación Symoo reenvía la información a un servicio para la creación de cuentas en plataformas como Facebook, Instagram, Google, inclusive Microsoft.
Algunos investigadores afirman que dichos dispositivos afectados son alquilados como “números de casillas virtuales”, para de dicha forma recibir y enviar códigos de acceso de un solo uso, para un solo usuario mientras crea alguna cuenta nueva.
Además de gran cantidad de descargas, dicha app Symoo cuenta en el Google Play con una puntuación de 3,5 y uno que otro usuario quejándose que es una app falsa. Se encuentra en su teléfono para generar contraseñas de un solo uso, al momento de instalarla.
Cabe mencionar que Symoo ha sido descubierta por Maxime Ingrao un investigador de seguridad del Evina, el cual generó el reporte a Google. Sin embargo, la compañía no tardo en responder afirmando que la app ha sido eliminada y que el desarrollador ha sido expulsado de la tienda de aplicaciones.
Symoo es un distribuidor de códigos 2FA
Una app diseñada para que al momento de tener contacto con el dispositivo y solicitar los accesos pertinentes, pueda leer y enviar SMS, lo que es algo lógico ya que la app se ofrece como un SMS de uso simple.
Al ingresar les solicita a los usuarios que introduzcan su número telefónico, tras superponerse una pantalla de carga la cual aparentemente nos permite observar el proceso de carga de los recursos de la app con malware en Android.
Lo inusual es que dicho proceso se suele prolongar más de lo normal, lo que le permite a los operadores enviar de forma remota múltiples mensajes de texto de 2FA. La cual lee el contenido de los SMS y reenvía el contenido de los OTP, a los desarrolladores de la app.
Al completar este proceso la app se congela y no termina de llegar a la interfaz de la SMS, por lo cual los usuarios generalmente proceden ha desinstalar la misma. La cual para dicho momento ya ha generado distintas cuentas falsas en varias plataformas online, dejando como muestra una gran cantidad de mensajes OTP, los cuales son reportados como cuentas no creadas por los usuarios.
Ingresos con venta de cuentas fraudulentas
Como usualmente dichos números telefónicos suelen ser la única forma posible a la hora de crear una cuenta, las personas que realizan actividades de dudosa legalidad o anónimas suelen considerar útiles este tipo de cuentas.
Como si fuera poco el investigador Maxime Ingrao, ha descubierto que la app filtra todos los datos de los mensajes de texto al dominio de “Virtual Number”, una app la cual también fue removida de la Google Play por situaciones similares.
Se ha descubierto que el desarrollador de ambas apps es dueño de otra app conocida como, ActivationPW y ofrece números virtuales en más de 200 países, los cuales se pueden emplear para crear cuentas.
La app permite obtener un número de alquiler por un precio accesible de 0.50$, y en muchos casos se sospecha que dichos OTP de Symoo se emplean para las verificaciones de ActivationPW.
Y aunque su política de privacidad revela dicho comportamiento, los desarrolladores aseguran que se emplea para respaldar sus servicios y de esta forma también evitar el SMAP.
Aunque se recomienda desinstalar esta app con malware en Android, en caso de que la emplees, recuerda que genera una copia de respaldo en sus servidores propios.
Aseguran que almacenan los mensajes de texto SMS, como parte de un bloqueo para controlar el spam dentro de la app y servicios de copia de seguridad con sus propias plataformas de terceros.
Y un almacenamiento en la nube o el proveedor de telecomunicaciones, según dicta en su política de privacidad de Symoo.
