Un virus ha estado creando cuentas falsas en tu nombre

Un virus ha estado creando cuentas falsas en tu nombre

Beatriz Soto

Una app maliciosa que se podía instalar en la tienda de aplicaciones de Google, Play Store, se ha dedicado a abusar de móviles hackeados después de su instalación para crear cuentas falsas en múltiples plataformas.

Se trata de un falso servicio de SMS descubierto recientemente y con más de 100.000 descargas que recolectaba SMS para crear cuentas en sitios como Facebook, WhatsApp y Google, entre muchos otros, y que podrías haber instalado sin ser consciente de que tiene malware.

Te comentamos cuál es y cómo funciona para que si la tienes instalada en tu móvil la desinstales inmediatamente. Aunque ha sido eliminada de Play Store y el desarrollador fue prohibido de la tienda de aplicaciones, podrías haberla instalado antes de descubrir que se trataba de un virus.

Así actuaba la falsa app de SMS Symoo

Esta falsa app de SMS se llama Symoo (com.vanjan.sms). Logró ser descargada más de 100.000 veces antes de ser detectada. Funcionaba, y aún lo hace si la tienes instalada, como repetidor para transmitir mensajes a un servidor que crea cuentas en nombre de sus víctimas.

symoo-virus-cuentas-falsas

Lo logra con el uso de los números de teléfono asociados con los dispositivos afectados para conseguir una contraseña de un solo uso utilizada para verificar al usuario al crear nuevas cuentas. Así es como se pueden crear cuentas con el teléfono de sus víctimas sin que estas se enteraran, así que si tú eres una de ellas desinstala la app inmediatamente.

El investigador de seguridad Maxime Ingrao, quien descubrió el malware, aseguró que este solicita el número de teléfono del usuario en la primera pantalla, así como permisos de SMS. Después simula cargar la app, pero permanece todo el momento en esa página para ocultar la interfaz de los SMS recibidos y que el usuario no vea los SMS de las suscripciones a los diferentes servicios.

Así fue como lograron registrarse en diferentes servicios, entre los que se incluyen Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber, WhatsApp y muchos otros.

Imagen del usuario de twitter
Maxime Ingrao
@IngraoMaxime
Found new #Android #malware that read all the sms and send to a server 👀

A website sells account creations (Fb, Google..) it uses infected phones to make the registrations with auth sms 🥷🏻

N°1 in new sms app in Play Store in #India it has infected 100k+ people there 👾 https://t.co/VH6DHWEG4y

28 de noviembre, 2022 • 14:41

65

5

Mientras todo esto sucede, las víctimas no son conscientes de este proceso, simplemente ven que la aplicación no funciona y la desinstalan sin más. Así es como ha sido descargada tantas veces sin que nadie se diera cuenta hasta ahora.

Los datos recopilados por el malware se filtran a un dominio llamado goomy.fun usado antes en otra app maliciosa denominada Virtual Number (com.programmatics.virtualnumber) que no está tampoco actualmente en la tienda de apps.

El desarrollador, Walven, tiene otra app, ActivationPW – Números virtuales (com.programmatics.activation) que afirma ofrecer números virtuales para recibir verificación por SMS de más de 200 países por muy poco dinero. Los números de teléfono pirateados en la primera app sirven para conseguir que los usuarios compren cuentas en el segundo.

¡Elimina estas apps cuanto antes!

Aunque ambas apps fueron eliminadas de Play Store y el desarrollador fue prohibido para que no suba nuevas aplicaciones, podrías tener alguna de ellas en tu móvil que ahora mismo siga creando cuentas en tu nombre, así que no está de más que lo compruebes y si es así la elimines. 

Te recuerdo que son estas:

  • Symoo (com.vanjan.sms)
  • Virtual Number (com.programmatics.virtualnumber)
  • ActivationPW – Números virtuales (com.programmatics.activation)

Puedes hacerlo desde los ajustes de tu móvil, en gestionar aplicaciones, buscando la app en concreto y dando a eliminar. Como medida de seguridad adicional, puedes usar un antivirus para ver si tu móvil está infectado o tiene malware.