Hoy en día, muchos usuarios de smartphones, se suscriben a servicios pagos a través de mensajes de texto, tales como la descarga de ringtones, eBooks, entre otros. Esto puede desembocar en un posible fraude, debido a que se realizan cobros ocultos o por el envío de información no solicitada, lo que produce una pérdida económica. Para contrarrestar esto existe en China una política de seguridad, la cual indica que el cliente debe confirmar la suscripción a estos servicios. Únicamente luego de esto el proveedor del servicio podrá enviar y cobrar por los servicios que envíe. Este proceso consiste en lo siguiente:

  • El usuario envía un mensaje de texto con la solicitud de suscripción al servicio.
  • El proveedor envía otro mensaje de texto como respuesta indicando los términos del servicio, tales como el contenido y el costo.
  • El cliente deberá confirmar contestando el mensaje recibido. En caso contrario, el cliente no se encuentra suscripto al servicio, el proveedor no podrá enviar información ni cobrar cargos.

En este caso el NC state university ha descubierto que la aplicación RogueLemon no solo confirma el mensaje enviado por el proveedor, indicando los términos de servicio, es decir, el segundo y el tercer paso de esta política, sino que también elimina estos dos mensajes de texto, haciendo de la política lo siguiente:

  • El usuario envía un mensaje de texto con la solicitud de suscripción al servicio.
  • El proveedor envía otro mensaje de texto como respuesta indicando los términos del servicio, tales como el contenido y el costo, pero esta vez el usuario no podrá ver este mensaje, sino que será interceptado por este rogue, para su eliminación para evitar que el usuario sospeche.
  • El malware envía un mensaje de confirmación a este proveedor para así iniciar con el envío de material para su cobro.

El código malicioso realiza estas modificaciones debido a los permisos que requiere para su instalación, los cuales son brindados por el usuario. Para evitar que el usuario pueda observar estos mensajes de texto, para así confirmar él mismo la suscripción, utiliza sus privilegios para modificar la prioridad, a la más alta, del recibo de los mensajes de texto, lo que procede en ver el mensaje de texto, incluso antes que el mismo usuario:

Gracias a esta modificación puede verificar todos los mensajes de texto, incluso los de confirmación del proveedor.

Otra medida de seguridad utilizada en China es que las compañías de servicio telefónico indican que se ha facturado un cobro en su cuenta a través de uno de estos servicios anteriormente descriptos, lo cual es una amenaza para este rogue. Debido a esto, y a su habilidad de poder verificar todos los mensajes recibidos antes que el propio usuario, este malware busca los mensajes enviados por esta compañía a través de la detección del número de teléfono de la misma para eliminarlos y así evitar la sospecha del usuario para poder continuar cobrando el servicio.

A pesar de que esto aún no pueda ser aplicado en esta región, debido a la falta de seguridad en estas cuestiones, es importante remarcar que la funcionalidad que posee por sobre los mensajes de texto puede ser aplicada para distintos fines, como por ejemplo enviar spam a través de mensajes de texto sin que el usuario pueda percatarse de ello.

En resumen, para evitar ser víctima de estos ataques y estafas, es indispensable que se realicen descargas de un sitio conocido y de su confianza, verificar qué privilegios se solicitan al momento de instalar una aplicación en nuestro Smartphone y siempre mantener un control del saldo para poder evidenciar un gasto no requerido.

Gonzalo Presa
Analista Jr. de Seguridad