Tras el aviso de ESET, Google eliminó de su tienda oficial para Android otra aplicación maliciosa que había alcanzado entre 100.000 y 500.000 descargas desde noviembre de 2016.
A diferencia de los downloaders típicos, el ransomware y otras amenazas similares, esta app llamada F11 no contenía código dañino. Se basaba en la ingeniería social, engañando a los usuarios para que paguen 18 euros (19 dólares) por una versión de Adobe Flash Player. Sí, Flash Player para Android, que siempre ha estado disponible en forma gratuita y fue discontinuado en 2012 debido a fuertes críticas a sus vulnerabilidades.
“Si vamos a los hechos, esto es una estafa. Legalmente, los ladrones detrás de esta operación trataron de evitar la etiqueta de ‘scam’, aunque debido a cómo implementaron su truco, podemos llamarlo una estafa”, explica Lukáš Štefanko, investigador de malware de ESET que lideró la investigación.
Cómo funciona el engaño
Si bien la app se eliminó de Google Play, el engaño en sí mismo no dejó de funcionar. Una vez descargada la aplicación, muestra un tutorial con instrucciones detalladas para descargar Flash Player. En esa página, el usuario es dirigido a PayPal para que pague los 18 euros y compre el software.
“Los autores de este engaño han hecho un gran esfuerzo para que parezca legítimo. Por ejemplo, la app aparecía listada en la sección de Educación de la Play Store. Sin embargo, el carrito de compras de PayPal revela la verdadera naturaleza de la operación: el ítem se llama Flash Player 11”, explica Lukáš Štefanko.
Es entonces cuando la operación deja de proveer a los usuarios consejos sobrevaluados e innecesarios y se transforma en una verdadera estafa, ya que se vende un artículo sin tener ningún derecho a hacerlo. Solo Adobe, creadora de Flash Player y dueña de todos los derechos asociados a este software, podría venderlo, si es que no lo pone a disposición en forma gratuita.
Luego de que se hace el pago, la estafa nuevamente pretende proveer “algo” a cambio del dinero de la víctima. Además de recibir un enlace a un tutorial de instalación de Flash Player, que es un conjunto de consejos obvios, las víctimas reciben la orden de instalar Firefox o Dolphin. Estos navegadores soportan Flash Player por defecto, ya que contienen el plugin para reproducir contenido en Flash.
“Al final de la operación, las víctimas terminan pudiendo reproducir contenido Flash en sus dispositivos. Sin embargo, es gracias al navegador que eligieron instalar. En otras palabras, no recibieron aquello por lo que pagaron. Y, por cierto, tanto Firefox como Dolphin son gratuitos”, concluyó Lukáš Štefanko.
Cómo protegerte
Primero y principal, ESET Mobile Security detecta la aplicación maliciosa F11 como Android/FakeFlash.F y evita que se instale en el dispositivo.
Dejando de lado el consejo de evitar aplicaciones sospechosas, en este caso particular cabe remarcar que es una mala idea instalar Flash Player en un sistema Android; debido a sus incontables vulnerabilidades, demostró ser una potencial forma de comprometer la seguridad de cualquier dispositivo.
Aquellos que quieran instalarlo a toda costa en sus dispositivos móviles deberían seguir las recomendaciones de los expertos de seguridad de Adobe que solicitó WeLiveSecurity:
Adobe recomienda firmemente que los usuarios solo instalen y actualicen Flash Player a través de uno de los siguientes medios:
- Descargándolo del centro de descargas de Adobe Flash Player
- Actualizándolo solo a través del mecanismo de actualización dentro de una instalación genuina de Adobe Flash Player desde el Centro de descarga de Adobe Flash Player
- Instalando/actualizando versiones originales de Adobe Flash Player instaladas con Google Chrome para Windows, Macintosh, Linux y Chrome OS y/o Adobe Flash Player instalado con Microsoft Edge e Internet Explorer 11 para Windows 10 y 8.1.
Cómo recuperar tu dinero
Quienes hayan caído en la trampa y hayan “comprado” a través de PayPal tienen 180 días para abrir un reclamo en el Centro de Resolución de PayPal. Nosotros, desde WeLiveSecurity, hemos hecho el pago como parte de nuestra investigación y solicitaremos el reembolso para presentar acciones legales, con el objetivo de dar de baja este engaño y llevar a sus responsables ante la justicia.