I ricercatori hanno recentemente scoperto un'app Android canaglia che trasforma i dispositivi in ripetitori SMS utilizzati per verificare vari account su Internet.
Al momento della pubblicazione, l'app ha oltre 100 download su Google Play Store ed è ancora disponibile per il download.
Spesso quando le persone creano account online, devono verificare la propria identità tramite i loro telefoni cellulari e confermare che non si tratta di bot o utenti che inviano spam al momento della creazione dell'account. Gli utenti condividono i loro numeri di telefono e ricevono una password monouso (OTP) che verifica la loro identità.
App per SMS falsi
Per coloro che desiderano rimanere online con uno pseudonimo, la possibilità di creare account online senza dover condividere i propri numeri di telefono sembra allettante, ma i metodi disponibili spesso mettono a rischio persone innocenti.
Il ricercatore Maxime Ingrao della società di supporto alla sicurezza informatica Evina ha recentemente scoperto Symoo, un'app che si presenta come una "semplice app SMS". Invece, tutto ciò che fa è trasmettere codici OTP basati su SMS a utenti anonimi, che possono includere autori di minacce, per la creazione di account altrove.
Quando gli utenti installano l'app, richiede le autorizzazioni SMS (che non dovrebbero attivare alcun allarme, poiché è descritta come un'app SMS). Quindi chiede il numero di telefono dell'utente e, se fornito, visualizzerà una finta schermata di caricamento che mostra una barra di avanzamento.
In background, chiederà agli operatori remoti di inviare diversi messaggi SMS di autenticazione a due fattori, che li aiuteranno a creare account su diversi servizi online. Dopo aver completato questo passaggio, l'app si arresta in modo anomalo e non sembra funzionare.
Ingrao ha infatti scoperto che Symoo condivide i dati degli SMS estratti con un'altra app, chiamata Virtual Number, che non è più disponibile sul Play Store.
Tuttavia, lo sviluppatore ha disponibile un'app simile chiamata "PW Activation - Virtual Numbers" che offre numeri di telefono autentici per aiutare chiunque a creare account. Per € 0.50, gli utenti possono inserire un numero di telefono e utilizzarlo per verificare un account tramite SMS. Questa applicazione ha più di 10.000 download.
Sebbene non ci sia nulla di intrinsecamente sbagliato in un servizio di numero virtuale, anche se Google ne offre uno sotto forma di Google Voice(Si apre in una nuova scheda), si consiglia agli utenti di disinstallare questa particolare app il prima possibile, in modo da non diventare vittime di frode. .
Tramite BleepingComputer (Si apre in una nuova scheda).