“La capacidad de edición de fotos de las apps Pink Camera no es muy impresionante, pero lo que hacen entre bastidores es notable: suscribir a personas a servicios maliciosos y lucrativos en ruso, inglés y tailandés, monitorizar los mensajes de texto y solicitar el reconocimiento de los servicios online de Captcha (el código que hay que escribir para demostrar que no es un robot), lo que supone que tiene potencial para robar de cuentas bancarias de las víctimas”, explica Igor Golovin, investigador de seguridad de Kaspersky.

“Nuestra teoría es que los atacantes que están detrás de estas aplicaciones crearon tanto los servicios de suscripción -no todos auténticos- como el malware que enganchaba a los suscriptores, y los diseñaron para llegar a una audiencia internacional”.

Así, según la compañía de ciberseguridad, las aplicaciones fueron diseñadas para robar información personal y utilizarla para inscribir a los usuarios a servicios de suscripción de pago: las víctimas solo descubrían el robo cuando en su factura de servicios móviles aparecían costes inesperados. Ambas aplicaciones se han eliminado de la tienda de Google Play y ya no están disponibles, aunque lo han estado y se han registrado unas 10.000 descargas, a pesar de que el contenido de la tienda de apps de Google se filtra de manera exhaustiva.

En cuanto al malware MobOk, Kaspersky destaca que se trata de un backdoor, un troyano de puerta trasera y por ello, uno de los tipos de malware más peligrosos, ya que ofrece al atacante un control casi total sobre el dispositivo infectado.

En muchos casos, los backdoors llevan una capa semi-funcional, que a primera vista parece ser un intento pobre, pero inocente, de crear una aplicación legítima. Por esta razón, las aplicaciones de Pink Camera no despertaron sospechas, ya que incluían funcionalidades de edición de fotos auténticas y habían sido descargadas de la tienda de Google Play.

Sin embargo, tan pronto como los usuarios comenzaban a editar sus imágenes utilizando las aplicaciones de Pink Camera, estas solicitaban acceso a las notificaciones y esto inició la actividad maliciosa en segundo plano: el objetivo era suscribir al usuario a servicios de suscripción móvil.

Unos servicios que suelen parecer páginas web que ofrecen un servicio a cambio de un pago diario que se carga a la factura del teléfono móvil. Este modelo de pago fue desarrollado originalmente por los operadores de redes móviles para facilitar a los clientes la suscripción a servicios premium, pero hoy en día, a veces, es objeto de abuso por parte de los ciberdelicuentes.

Una vez infectada la víctima, el malware MobOk recopilaba información del dispositivo, como el número de teléfono asociado, para explotar esta información en posteriores etapas del ataque. Luego, los atacantes enviaban al dispositivo infectado detalles de las páginas web con servicios de suscripción de pago y el malware los abría, actuando como un navegador secreto en segundo plano. Utilizando el número de teléfono extraído anteriormente, el malware lo inserta en el campo 'suscribirse' y confirmaba la compra.

Al tener el control total del dispositivo y poder comprobar las notificaciones, el malware introducía el código de confirmación del SMS cuando llegaba, todo ello sin avisar al usuario. La víctima comenzaba a incurrir en gastos y continuaba haciéndolo hasta que detectaba los pagos en su factura telefónica y cancelaba la suscripción a cada servicio.

Kaspersky Lab detecta el malware de MobOk como HEUR:Trojan.AndroidOS.MobOk.a y, para evitar este tipo de aplicaciones maliciosas, recomiendan las siguientes consideraciones y prácticas: