Android: ¿Actualizaciones automáticas? No en mi terminal

Casi todo el mundo que dispone de un teléfono con sistema operativo Android tiene activadas las actualizaciones automáticas de las aplicaciones.
En un principio esto está bien, confiamos en una APP por eso la hemos instalado, después de comprobar que los permisos sean correctos para su cometido y que los comentarios parezcan creíbles ¿ Verdad que lo hacemos todos así ?

Por desgracia los hackers y spammers unidos a desarrolladores con pocos escrúpulos pueden provocar un problema de seguridad muy grave en nuestros dispositivos.

La forma de actuar es la siguiente, un spammer decide que necesita realizar una campaña publicitaria “express” y que necesita llegar al menos a 50.000 personas, una buena forma sería que al trabajar con el móvil a estos usuarios les saliera una pantalla de publicidad con frecuencia y que además que al pulsar la (X) para cerrar que nos lleve a la página del producto de todos modos. Ahora la pregunta como hago para llegar a 50.000 personas diferentes en poco tiempo. La respuesta como siempre depende del presupuesto, así que decidide que en vez de realizar una campaña, realizará cuatro o cinco a la vez (distintas publicidades) y así amortizar los gastos.
Una vez cree que tiene el presupuesto ajustado se dirige a tiendas online como Apptopia o Sell The Apps y busca una aplicación a la venta que tenga unas 50.000 instalaciones (o más) y que encaje en su presupuesto y la compra.

angel-devil2

Ya está, ya tiene una aplicación en su poder que llega a 50.000 usuarios únicos, ahora puede hacer lo que quiera, modificar el código de la aplicación para que suelte publicidad no deseada constantemente (identificándose como un servicio de Google por ejemplo), o bien transformándola en algo totalmente diferente (un fondo animado se puede convertir en un completo optimizador “mágico” para ahorrar batería). Por poder, puede hasta cambiar de nombre, de modo que nuestro “Fondo de pantalla de atardecer” se ha transformado en “Optimizador mágico V2” sin nosotros darnos cuenta (transmutación binaria espontánea, podría llamarse).

Lo curioso es que muchas veces instalamos una aplicación porque confiamos en el creador y aunque nos pide permisos para los SMS (recordemos que es un fondo animado de pantalla) el creador nos dice es que para recibir notificaciones de actualizaciones (por ejemplo) y lo instalamos sin miedo (no hay comentarios de nadie que sugiera un uso ilícito de este permiso).
Llegados a este punto el spammer se ha dado cuenta que una vez que está realizando la campaña de spam, como la aplicación tiene permisos de SMS puede forzar a que todos los dispositivos que tengan conexión telefónica se subscriban a servicios SMS Premium (si, si, de esos de 6 € a la semana por recibir un chiste por SMS). Ni corto ni perezoso modifica la APP para que en la siguiente actualización nos muestre publicidad de la que estorba, nos suscriba a un servicio SMS Premium del que se lleva una jugosa comisión (pongamos 10 céntimos por SMS, por 50.000 usuarios, 5000€ a la semana, así como llovidos), y de paso aprovecha para enviar a un servidor central en China (por ejemplo) todos nuestros contactos, fotos y todo lo que pueda sacar de la tarjeta SD. Si el spammer tiene la suerte de dar con un teléfono de una persona influyente con fotos en pelotas comprometidas, pueden obtener un ingreso extra realizando una extorsión bastante simple.

Por este motivo no quiero actualizaciones automáticas de mis aplicaciones, no al menos de todas, con las de Google, Facebook, etc no tengo problema, ya tienen acceso a la mitad de mi vida, pero del resto quiero poder ver los comentarios recientes antes de instalarla, y así tengo una posibilidad de que alguien que lo haya sufrido avisara y puedo al menos esperar unos días a ver que comentan otros usuarios que han sido menos precavidos.

¡Ojo!, esto más fácil en Android ya que las revisiones de APPs por parte de Google es más laxa que la de Apple, pero los usuarios de la manzana empezada pueden sufrir problemas parecidos si el spammer es cuidadoso, vamos que no se salva ni DiOS.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *