Quantes vegades ha passat? Es descobreixen aplicacions falses en Google Play i l’empresa ha d’esborrar-les amb rapidesa per a evitar que es converteixin en un problema major.

A vegades, la informació ni tan sols surt a la llum. Però aquesta vegada hem pogut descobrir que els usuaris d’Android s’han vist exposats a una còpia perillosa de Telegram i també a una de l’app Signal.

Google no té costum d’informar de les apps malicioses que elimina de la seva botiga. Però tampoc és una cosa tan rara, ja que altres empreses tampoc ho fan. Els qui difonen la informació són entitats com ESET, una de les entitats de seguretat més conegudes. Aquesta ha estat la que ha parlat recentment d’aquestes dues apps falses que han circulat per la botiga de Google sense que els usuaris hi fossin conscients.

Encara disponibles per a dispositius Samsung

Tant FlyGram, l’aplicació que copiava tota l’estructura de Telegram fent-se passar per ella, com Signal Plus Messenger, la còpia de l’altra aplicació, continuen estant disponibles en la Samsung App Store d’Android. És d’imaginar que l’entitat coreana reaccionarà els pròxims dies a la notícia, però de moment continuen exposant als usuaris a un risc important.

Totes dues aplicacions repliquen l’estructura de les versions originals amb la intenció d’enganyar els usuaris fent-los creure que es tracta d’apps de confiança. Però el que ocorre en el seu interior és que es roben dades dels usuaris, es redirigeix informació i s’obren un altre tipus de vies d’infecció que poden arribar a tenir conseqüències encara superiors. Per això, cal tenir molt de compte amb el que s’instal·la i sempre desconfiar de qualsevol tipus de petita diferència que trobem en les apps que descarregarem, fins i tot si estan disponibles en Google Play.

Aquesta és la seva forma d’infecció

Un dels motius pels quals tant FlyGram com Signal Plus Messenger resulten convincents és perquè estan desenvolupades utilitzant el codi font disponible per part de les apps originals. Se suposa que tant Telegram com Signal haurien de ser més prudents amb la forma en la qual comparteixen aquests codis, però en aquest cas s’ha vist que els hackers han aconseguit manipular el seu ús a voluntat. En Signal el que han fet ha estat emetre un comunicat en el qual han demanat que les botigues d’aplicacions, com les de Google i Samsung, siguin més prudents amb les aplicacions que accepten.

En les dues aplicacions falses havia carregat el mateix malware, un conegut com a BadBazaar. Segons les recerques que han dut a terme els especialistes en seguretat, l’origen de l’emissió d’aquest virus es troba en grups de hackers xinesos. En el seu afany per distribuir-lo a la quantitat més gran de persones, l’haurien estat promocionant en grups de Telegram.

Els usuaris més afectats sembla que han estat els de Signal, els missatges rebuts i enviats acabaven sota el control dels hackers. També tenien accés a una altra mena d’informació delicada, com els contactes de l’agenda, el número d’IMEI, les coordenades de localització, el nom de l’operador proporcionant el servei o fins i tot les dades de la connexió Wifi. La bretxa de seguretat provocada pel malware era tan greu que fins i tot quedaven en mans dels hackers les dades dels comptes de Google i la clau PIN de seguretat que establia l’usuari en l’app.

Això feia que fos un risc notable, però resultava encara major perquè els cibercriminals s’estaven aprofitant de la funció que té l’app per a connectar-se a un segon dispositiu. Ho feien sense que l’usuari ho sabés, aconseguint accés ràpid i simplificat a tot el contingut del propietari. Per a obtenir-ho, els hackers van donar amb un mètode que permetia fer el vincle dels dos dispositius saltant-se les mesures de seguretat que sol haver-hi disponibles.

Una vegada controlat el compte de Signal, els hackers podien fer pràcticament el que volguessin amb les dades dels usuaris. El mateix ocorria amb l’aplicació de Telegram, però sense que es donés el cas d’aquest vincle d’un segon dispositiu. Per fortuna, Google va eliminar amb anterioritat les dues aplicacions i ara només queda que Samsung faci el mateix perquè no existeixi cap risc.