App Android crea profili falsi e supera l'autenticazione a due fattori

Un noto ricercatore ha scoperto un’app Android pubblicata sul Google Play Store che espone gli utenti a rischi non indifferenti. Evina Maxime Ingrao spiega che un’applicazione presentata sul Play Store come un nuovo e utile gestore SMS in realtà non fa quanto promette bensì, una volta installata e avviata, provvede a creare profili utente su Google, Instagram, Telegram e Facebook. Questi profili utente vengono creati superando l’autenticazione a due fattori utilizzando proprio l’SMS come secondo fattore.
L’applicazione in questione, che si chiama Symoo ed è ancora distribuita attraverso il Play Store (allo stato attuale Google non ha ancora provveduto a rimuoverla nonostante la segnalazione di Maxime Ingrao), richiede infatti il permesso per interagire con gli SMS: sfruttando le autorizzazioni concesse dall’utente, può registrare “dietro le quinte” nuovi account e confermare l’inserimento dei codici OTP ricevuti via SMS.

Maxime Ingrao aggiunge che l’app si comporta in questo modo con il preciso obiettivo di creare quanti più account utente possibile per poi rivenderli in blocco a malintenzionati e criminali informatici.

Poiché i numeri di telefono sono spesso l’unico modo possibile per verificare gli account, chi svolge attività illecite o vuole muoversi nel totale anonimato, utilizza account come quelli creati all’insaputa delle vittime da app come Symoo.

L’applicazione una volta installata non funziona neppure e rimuovendola dal dispositivo mobile gli utenti si accorgono dei tanti codici OTP ricevuti via SMS.

Due aspetti destano non poca meraviglia: l’app in questione è rapidamente diventata la numero uno in India tra le nuove proposte per la gestione degli SMS potendo godere anche di una serie di valutazioni positive create ad arte sul Play Store di Google.
Inoltre, a dispetto dei dati di autenticazione degli account creati su Google, Instagram, Telegram e Facebook trasferiti verso i server gestiti dagli aggressori, nella scheda di Symoo pubblicata sul Play Store si legge: “Nessun dato condiviso con terze parti” e Nessun dato raccolto“. Google ha stabilito che le app devono dichiarare i dati che raccolgono ma se l'”autocertificazione” è fasulla a venire meno è la sicurezza e la riservatezza dei dati degli utenti finali.

Abbiamo detto più volte che è molto meglio verificare attentamente i permessi usati dalle app Android evitando di concedere quelli che possono rivelarsi pericolosi. A “ondate” varie testate si concentrano sulle potenziali implicazioni per la privacy delle app Android che utilizzano il microfono ma il problema è molto più ampio e spesso, ancora oggi, non si pone la dovuta attenzione ai permessi richiesti dalle applicazioni che si installano sul proprio dispositivo e che, lo ricordiamo, contiene dati di grande valore: non possono e non devono cadere nelle mani di soggetti terzi.

Maxime Ingrao ha scoperto, tra le altre cose, che l’app Symoo ruba il contenuto degli SMS trasferendo verso sistemi remoti, controllati da sconosciuti, il testo dei messaggi e i vari riferimenti (ad esempio i numeri di telefono). È scontato che queste informazioni possano poi essere sfruttate per avviare campagne phishing mirate e trarre in inganno, con maggiore probabilità, le vittime delle tentate truffe.