Cada cierto tiempo, sale a la luz la presencia de aplicaciones maliciosas (y/o falsificadas) entre las millones que contiene la Google Play Store, con el peligro que esto conlleva para la seguridad y privacidad de los usuarios.En el caso que nos ocupa, ayer se desveló la detección en dicha tienda (y en la Samsung Galaxy Store) de dos apps que suplantan a algunas de las plataformas de mensajería segura más populares del momento: Telegram y Signal.
Sus 'hermanas malvadas', denominadas FlyGram y Signal Plus Messenger (que ya no están disponibles en las tiendas de apps), respectivamente, fueron creadas específicamente para engañar a los usuarios y poder, así, robar su información confidencial.
Para lograrlo, los iconos y estructuras de FlyGram y Signal Plus Messenger se asemejan a las versiones oficiales de Telegram y Signal, y se presentaban como 'clientes alternativos' de dichas plataformas…
…lo que hace que muchos usuarios incautos caigan en la trampa y las instalen, tras lo cual ambas aplicaciones introducen en los dispositivos afectados un malware desarrollado en China y conocido como BadBazaar, permitiendo a los atacantes acceder a una amplia gama de datos personales, como listas de contactos, historiales de llamadas, mensajes de texto e incluso acceder a conversaciones en las aplicaciones de mensajería.
Pero el problema no radica únicamente en que sirvan como 'caballo de Troya' de BadBazaar, porque ambas aplicaciones son maliciosas 'por derecho propio'. Según desvela la compañía de ciberseguridad ESET sobre FlyGram:
"Si los usuarios activan una función específica de FlyGram que les permite realizar copias de seguridad y restaurar los datos de Telegram en un servidor remoto controlado por los atacantes, [los criminales] tendrán acceso completo a estas copias de seguridad de Telegram, no sólo a los metadatos recopilados [como listas de contactos, registros de llamadas y la lista de cuentas de Google].
[…] Descubrimos que el servidor asigna un ID único a cada cuenta de usuario recién creada. Este ID sigue un patrón secuencial, lo que indica que un mínimo de 13.953 cuentas de FlyGram habían activado esta función".
Y esto relata ESET sobre Signal Plus Messenger:
"Recopila datos de dispositivos e información sensible similares; su principal objetivo, sin embargo, es espiar las comunicaciones Signal de la víctima: puede extraer el número PIN de Signal que protege la cuenta Signal y hace un uso indebido de la función de enlace de dispositivos que permite a los usuarios vincular Signal Desktop y Signal iPad a sus teléfonos. Este método de espionaje destaca por su singularidad, ya que difiere de la funcionalidad de cualquier otro malware conocido".
Acciones recomendadas
Los usuarios que puedan haber sido afectados por estas aplicaciones maliciosas deben tomar medidas inmediatamente: En primer lugar, desinstalando FlyGram y/o Signal Plus Messenger. El siguiente paso sería cambiar las claves de acceso a cuentas bancarias y las contraseñas de otras cuentas importantes desde un dispositivo seguro (es decir, que nunca se haya visto infectado por las dos apps citadas, por si acaso).
