De acuerdo a un informe de la firma de seguridad Upstream, Weather Forecast, la aplicación del tiempo que viene preinstalada en los móviles Alcatel, ha estado recopilando datos personales de los usuarios y mandándolos a China. Dicha aplicación ha sido desarrollada por TCL Communication Technology Holdings Ltd, conglomerado empresarial con sede en Shenzhen y dueño de otras marcas como Blackberry.
Según Upstream, tras detectar una serie de transacciones fraudulentas en Brasil y Malasia, descubrieron que la aplicación, que tiene «numerosos permisos invasivos», recoge datos de geolocalización, direcciones de correo y hasta el IMEI y los manda a China. Para más inri, la aplicación ha llegado a intentar suscribir de forma fraudulenta a los usuarios de Brasil, Malasia y Nigeria a servicios de pago relacionados con la pornografía y la realidad virtual.
Disponible para todos en Google Play y actuando en segundo plano
Weather Forecast en Google Play.Weather Forecast no es una aplicación exclusiva. De hecho, está disponible en la tienda de Google y es compatible con cualquier dispositivo con Android 4.4 KitKat o superior. Actualmente cuenta con más de 10 millones de descargas y una puntuación de 4,4 estrellas. Upstream afirma que los smartphones afectados son los Pixi 4 y los A3 Max y que se detectaron y bloquearon transacciones ilegítimas en Nigeria, Sudáfrica, Egipto, Kiwait, Túnez, Brasil y Malasia.
Para investigar el comportamiento de la aplicación, los investigadores compraron a uno de los usuarios afectados un Alcatel A3 Max. Descubrieron que el dispositivo había hecho 500 peticiones de transacciones fraudulentas entre los meses de julio y agosto. Contactaron con más usuarios para confirmar este comportamiento y no solo lo confirmaron, sino que «la mayoría se quejaban del sobrecalentamiento», algo que achacan a un uso intensivo e injustificado del procesador.
Algunos de los anuncios a los que accedía la app en segundo plano – Imagen: Upstream Systems.Nada más iniciar el dispositivo, la aplicación Weather Forecast hace una llamada a unos servidores que «no tienen nada que ver con el funcionamiento del aplicación». De la misma forma, en segundo plano la app accedía a webs de anuncios (en concreto, al dominio traffic.tc-clicks.com) relacionados, como adelantábamos anteriormente, a la pornografía y los servicios de realidad virtal. «Los clics fraudulentos activaron la compra de una suscripción pagada (y los consiguientes cargos al usuario», afirman desde Upstream.
Otro ejemplo peculiar que señalan es que, en una ocasión, la app «pasó por varias direcciones URL que finalmente desembocaron en la página de compra de un servicio digital de la operadora TIM Brasil». Es la más grande del país y es curioso puesto que la tarjeta SIM que fue introducida en el terminal era de dicha operadora. «La app procedió a hacer clic en el botón «Assinar» (suscribirse) […] y lo repitió en la siguiente página, en la que el usuario debía confirmar la compra».
Se registró un consumo de entre 50 y 250 MB de datos diarios generado por actividades fraudulentas en la app
Desde Upstream destaca que la app solicitaba una enorme cantidad de permisos, destacando android.permission.READ-LOGS (que permite leer los archvivos de registro y puede contener información privada), android.permission.ACCESS-KEYGUARD-SECURE-STORAGE (para controlar el sistema operativo y bloquear o desbloquear el móvil en cualquier momento, aunque fue eliminado en versiones superiores a Android 4.4) y android.permission.READ-PHONE-STATE (que permite acceder al número de teléfono, entre otras cosas). El más interesante es el permiso BILLING, que sirve para gestionar compras dentro de la aplicación, aunque la aplicación no cuenta con micropagos.
En cuanto al alcance, en Brasil se han detectado y bloqueado 2,5 millones de transacciones fraudulentas entre julio y agosto del año pasado. Todas ellas provenían de solo 128.845 dispositivos. En Brasil fueron 428.291 transacciones y en Kuwai unas 79.000. La aplicación sigue disponible en Google Play y, por el momento, TCL no ha hecho ninguna declaración.
Vía | Upstream Systems
