Por Lukas Stefanko, especialista en seguridad informática de ESET
ESET descubrió la primera aplicación falsa de tipo lockscreen en Google Play, llamada Pokemon GO Ultimate. Como sugieren sus características, bloquea deliberadamente la pantalla del dispositivo justo después de ser iniciada, forzando al usuario a reiniciarlo.
Desafortunadamente, en muchos casos no es posible el reinicio ya que la actividad de la app maliciosa se sobrepone a todas las otras apps y ventanas de sistema. El usuario necesita reiniciar el dispositivo ya sea sacando la batería o usando Android Device Manager. Y si bien la pantalla dejará de estar bloqueada, la aplicación seguirá ejecutándose en segundo plano, escondida de la víctima, haciendo clic silenciosamente en anuncios de pornografía online.
App falsa “Pokemon Go Ultimate”
Podría decirse que Pokémon GO es el mayor suceso que Internet ha visto últimamente, por lo que los usuarios están dispuestos a hacerse del juego, aún a riesgo de descargar un APK que incluye una herramienta espía. Sin embargo, dado que solo está disponible en forma oficial en unos pocos países (Estados Unidos, Australia, Nueva Zelanda, Alemania y el Reino Unido) esto conlleva riesgos.
Los que tienen intenciones maliciosas están al tanto de esto y tratan de explotar el revuelo infectado a víctimas hambrientas de Pokémon GO con aplicaciones falsas. Pokemon Go Ultimate es un ejemplo perfecto, que promete a la víctima jugar el videojuego original pero termina realizando acciones maliciosas.
Tras su instalación desde Google Play, no había evidencia de Pokemon Go Ultimate en el dispositivo, aunque se añadió una app con el nombre “PI Network” y un ícono diferente.
Pokemon Go Ultimate tras la instalación
Cuando la víctima ejecuta lo que cree que es una app de PI Network (sintonizador de antena), esta colapsa inmediatamente después del inicio, bloqueando la pantalla y forzando el reinicio quitando la batería del dispositivo.
Tras el reinicio, la app permanece escondida y el ícono PI Network es removido del menú de aplicaciones. Sin embargo sigue ejecutándose en segundo plano usando esta técnica para hacer clic en anuncio, generando ganancias para sus operadores.
Para borrarla, el usuario debe ir a Ajustes -> Aministrador de aplicaciones -> PI Network. En ese punto, puede desinstalarla manualmente.
Esta es la primera vez que observamos una funcionalidad lockscreen (bloqueo de pantalla) usada exitosamente en una aplicación falsa que logró llegar a Google Play. Es importante notar que, desde ese punto, solo se requiere un pequeño paso para añadir un mensaje de recate y crear así el primerransomware de bloqueo de pantalla en Google Play.
Otras trampas
Lamentablemente, la aplicación de bloqueo de pantalla no fue la única maliciosa que apareció en nuestro radar. Investigadores de ESET también descubrieron apps falsas llamadas “Install Pokemongo” y “Guide & Cheats for Pokemon Go”, a las cuales nuestra solución de seguridad móvildetecta como Android/FakeApp.
Aplicaciones de scareware
Ninguna de estas apps cumple su promesa; solo traen avisos de scareware que llevan a los usuarios a pagar por servicios innecesarios. Inmediatamente después del inicio, se muestran promesas falsas: el usuario puede seleccionar una cantidad de Pokecoins, Pokeballs o Lucky Eggs para generar, que en algunos casos puede llegar hasta 999.999 por día.
Antes de añadir realmente los recursos, se requiere al usuario que “verifique su cuenta”, clásico pedido de los engaños. En vez de cualquier tipo de verificación seria, se lo intenta engañar para que de suscriba a servicios falsos costosos, en forma similar a las apps falsas que prometían mejorar la popularidad en redes sociales
Para ello, se valen de varias alertas pop-up fraudulentas; una de ellas afirma que el dispositivo está infectado con muchos virus y necesita limpiarse. Claro que se ofrece este servicio, lo que podría ocasionar que el usuario envíe involuntariamente una suscripción a un servicio SMS.
La farsa de la limpieza de virus es solo un ejemplo de las técnicas de scareware utilizadas. También pueden descargar otras aplicaciones, crear encuestas y mostrar anuncios de scams diciendo que el usuario ganó premios como un nuevo iPhone, un Galaxy S7 Edge o incluso grandes cantidades de dinero. Las técnicas implementadas dependen del país donde esté localizada la IP del usuario.
Cada vez que el usuario presiona el botón “Atrás”, aparecen nuevos pop-ups de scareware y anuncios. La única forma de librarse de ellos es haciendo doble clic en el botón.
¡Cuídate de todas ellas!
Las tres aplicaciones maliciosas mencionadas fueron eliminadas de la tienda Google Play tras ser reportadas por ESET. Como estuvieron disponibles allí por un corto período, solo lograron ser descargadas por unos pocos cientos de personas: Pokemon Go Ultimate alcanzó entre 500 y mil descargas; Guide & Cheats for Pokemon Go logró entre 100 y 500 y la más exitosa, Install Pokemongo, atrajo entre 10.000 y 50.000 víctimas.
Expertos en seguridad, incluyendo a los de ESET, han alertado sobre versiones falsas de Pokémon GO y otras aplicaciones móviles populares, dado que es una práctica común de los cibercriminales hacer pasar sus creaciones por tutoriales o trucos para juegos. Pokémon GO es tan atractiva es, a pesar de esas advertencias, hay usuarios que tienden a aceptar los riesgos y descargar cualquier cosa que los ayude a “atraparlos todos”.
Para aquellos que realmente no pueden resistir la tentación de buscar pokémons a su alrededor y viven fuera de los países en los que se lanzó oficialmente, los expertos de ESET ofrecen los siguientes consejos:
- Descarga solo desde fuentes confiables y de reputación
- Revisa las opiniones de otros usuarios enfocándote en los comentarios negativos (recuerda que los positivos podrían ser fabricados)
- Lee los términos y condiciones de la app, enfocándote en los permisos
- Usa una solución de seguridad móvil de calidad