Sabemos que hay que tener especial cuidado con las aplicaciones que instalamos ya que pueden sobrepasarse en los permisos, incluir malware o no ser lo que prometen antes de que las instalemos. Como suele ocurrir en cualquier producto de consumo, quien utiliza las apps debe ser responsable ya que le va su seguridad en ello. El problema viene cuando los desarrolladores van a estafar al usuario y este, pese a las precauciones, confía en lo que le dicen.

El phising o suplantación de identidad en los correos electrónicos es algo tan extendido que son pocos los que no lo conocen. ¿Que llega un correo de tu banco con el mismo diseño de comunicación y pidiéndote que insertes las claves? Desconfiamos por naturaleza. Pero ¿qué ocurre si eso pasa en aplicaciones que supuestamente son de nuestro banco?

Desde TrendMicro nos llega una noticia que debe ponernos en guardia, más si cabe: la estafa de falsas aplicaciones de banco que apuntaban a los usuarios españoles. La mecánica era sencilla, pero efectiva: hacerse pasar por una app de banca fidedigna para que después, con el permiso de leer SMS, pudiesen obtener los códigos de autorización cuando los estafadores trataran de realizar compras online.

La autorización en dos pasos de tu banco no es segura si una app peligrosa puede leer tus SMS

Falsa aplicación de banco descubierta por TrendMicro

La mayoría de los bancos ha adoptado la autorización en dos pasos vía SMS a la hora de realizar compras en Internet. Es un medio muy seguro ya que impide a los estafadores utilizar el número de tarjeta ajeno al necesitar también una autorización en tiempo real del usuario. De esta manera este se entera de que alguien está intentando usar su tarjeta porque le llega un mensaje al móvil chivándose del proceso.

Dado que que hay que introducir la clave recibida por SMS al intentar hacer una compra basta con que el móvil de la víctima tenga una aplicación con acceso a los SMS. Los estafadores realizan una compra, esperan a que llegue el SMS del banco a la víctima, la falsa aplicación de banco lee el SMS y el código se envía a los estafadores sin que el usuario se dé cuenta a no ser que le dé por leer el mensaje recibido. El ciclo perfecto.

Trend Micro alerta en su reporte cómo funciona esta práctica y qué aplicaciones estuvieron haciendo uso de ella. Dirigidas al público español, y ofreciendo en su ficha de la Google Play la interfaz robada de bancos como BBVA, Bankia o EvoBank, estafaban a los usuarios que las descargaban pensando que eran de su banco. Una vez instaladas las aplicaciones funcionaban en segundo plano gracias a los permisos de ID del dispositivo, acceso a teléfono y SMS; monitorizando las comunicaciones del usuario para enviarlas con la idea de confirmar operaciones bancarias realizadas por los estafadores.

Las aplicaciones denunciadas por Trend Micro ya no se encuentran en la Google Play, pero eso no significa que podamos estar tranquilos: como hemos comprobado personalmente, es una táctica extendida dentro de la tienda.

Comprobamos cómo funcionan las aplicaciones que buscan confirmar compras no realizadas

Buscando en la Google Play no nos ha resultado difícil encontrar apps que replican lo denunciado por Trend Micro. Es el caso del desarrollador CoderzValley Pvt. Ltd: este posee dos apps que imitan el aspecto del BBVA e ING Direct.

En un principio creadas como juegos, fueron publicadas en la Google Play el pasado 18 de octubre. El proceso que han seguido es el siguiente:

• El desarrollador publica aplicaciones que no tienen nada que ver con el objetivo final, suplantar a apps de banco.
• Buscando captar el menor número de incautos y valoraciones positivas para tener credibilidad, los usuarios descargan las aplicaciones confiando en que son inocuas.
• Las apps poseen los siguientes permisos: acceso completo a los SMS, acceso al teléfono, acceso a la ID del dispositivo, acceso completo a Internet.
• Una vez tienen credibilidad, descargas y valoraciones, el desarrollador cambia las capturas de pantalla e iconos de la Google Play para que se parezcan a las de los bancos a los que busca suplantar.
• El usuario de los bancos las descarga pensando que son oficiales: se parecen a las reales y tienen buena valoración.
• El desarrollador realiza compras con las tarjetas esperando que sus apps lean los SMS de autorización y les envíen los códigos para autentificar las compras.

No solo hemos de ser extremadamente cautos con lo que instalamos, también hemos de proteger a las personas que menos idea tienen de tecnología. Enseñemos cómo contrastar todas las aplicaciones antes de instalarlas, cómo vigilar qué permisos son los adecuados para esas aplicaciones, demostremos cómo descubrir las falsas intenciones de los desarrolladores. Pese a los esfuerzos Google no puede luchar con las decenas de miles de apps que se suben cada día a la Play Store.