.
Mateusz Slodkowski/SOPA Images/LightRocket via Getty Images
O Google removeu dois aplicativos, um com mais de 100.000 downloads, depois de receber uma denúncia de que faziam parte de um esquema ilegal que encaminhava clandestinamente mensagens de texto usadas para criar contas fraudulentas em sites de terceiros.
O primeiro aplicativo, chamado Symoo, se apresentou como um mensageiro SMS fácil de usar. Uma vez instalado, ele pedia o número de telefone do usuário e fingia carregar o aplicativo. O aplicativo travava na tela enquanto, em segundo plano, copiava todos os textos recebidos e os enviava para goomy[.]fun, um site controlado pelo desenvolvedor.
A tela travaria indefinidamente, portanto, eventualmente, muitos usuários provavelmente forçariam o encerramento do aplicativo e o desinstalariam. Durante o tempo em que o Symoo estava em execução, no entanto, o desenvolvedor usaria o número para um serviço pago que registrava contas falsas em sites que exigiam verificações por SMS. Enquanto o aplicativo estava em execução, o serviço registrava as contas usando o número do telefone infectado e copiava o código de verificação retornado pelo site. Além de enviar textos associados à criação da conta falsa, o Symoo encaminhou todos os textos que o telefone infectado recebeu de outras partes.
O desenvolvedor do Symoo tem links para uma pessoa por trás de outro aplicativo chamado ActivationPW. ActivationPW funcionou através da ativação[.]pw, um site que permite que as pessoas comprem as contas com telefones infectados.
Na terça-feira, cerca de 12 horas depois que um pesquisador de segurança postou suas descobertas, o Google finalmente removeu Symoo e ActivationPW de sua Play Store. A empresa também excluiu a conta Play do desenvolvedor.
Uma pesquisa no VirusTotal mostrou que goomy[.]fun foi usado por um aplicativo Play chamado VirtualNumber. Ele foi criado pela mesma pessoa por trás do activation.pw e, como o Symoo, fornecia uma maneira de criar contas falsas usando telefones infectados.
O desenvolvedor do aplicativo VirtualNumber é o mesmo que criou o ActivationPW, um aplicativo baixado mais de 10.000 vezes e anunciado como oferecendo números online de mais de 200 países.
Muitos sites exigem que as pessoas que se inscrevem em uma conta forneçam um número de telefone que receba textos SMS. A conta não pode ser criada até que o usuário copie um código de verificação enviado para o telefone. As pessoas que procuram criar contas para uso de bots ou fins de fraude geralmente recorrem a serviços como o ActivationPW para contornar esse requisito.
Qualquer pessoa que tenha instalado qualquer um desses aplicativos deve verificar seus telefones para garantir que os aplicativos foram excluídos. Eles também devem estar cientes de que todos os textos que receberam enquanto os aplicativos estavam abertos foram encaminhados para um servidor envolvido em atividades ilegais.
.
