Google ha vietato due applicazioni, una delle quali aveva oltre 100.000 download, dopo aver ricevuto rapporti su un’operazione illegale che ha inoltrato segretamente i messaggi di testo utilizzati per stabilire account falsi su siti Web di terze parti.
Il programma iniziale, Symoo, si è presentato come una semplice app di SMS. Una volta installato, richiederebbe all’utente il proprio numero di telefono prima di fingere di eseguire il programma. Il programma sarebbe quindi eseguito sullo schermo mentre, in background, duplicava ogni testo ricevuto e inoltrato al sito Web dello sviluppatore.
Mentre Symoo era in funzione, lo sviluppatore avrebbe utilizzato il numero per un’attività che creava falsi account su siti che richiedevano verifiche basate su SMS. Il servizio registrerebbe gli account utilizzando il numero del telefono infetto e quindi copia il codice di verifica fornito dal sito mentre l’app è in esecuzione. Oltre a inviare messaggi relativi alla configurazione dell’account fasullo, Symoo ha inoltrato tutti i testi ricevuti dal telefono infetto da altre parti.
Lo sviluppatore di Symoo ha legami con il creatore di un altro programma chiamato ActivationPW. ActivationPW ha operato tramite attivazione [.]pw, un sito Web in cui gli utenti possono acquistare account con telefoni infetti
. Google alla fine ha eliminato Symoo e ActivationPW dal Play Store martedì, circa 12 ore dopo che un ricercatore di sicurezza ha pubblicato i suoi risultati.Inoltre, sembra che lo stesso sito web è stato utilizzato da un’app di Google Play denominata VirtualNumber. È stato costruito dallo stesso individuo che ha lanciato l’attivazione.pw e, come Symoo, ha permesso agli utenti di creare account falsi utilizzando telefoni infetti. L’app VirtualNumber è stata costruita dalla stessa persona che ha lanciato ActivationPW, un’app che è stata scaricata oltre 10.000 volte e ha offerto numeri Internet da oltre 200 paesi.
Molti siti Web chiedono agli utenti che si iscrivono a un account per fornire un numero di telefono che accetta messaggi di testo SMS. L’account non può essere stabilito se l’utente non copia un codice di verifica ricevuto tramite messaggio di testo. Chiunque abbia scaricato una di queste applicazioni dovrebbe controllare i propri telefoni per verificare che siano stati rimossi. Dovrebbero inoltre essere informati che tutti i messaggi di testo ricevuti mentre le applicazioni erano attivi venivano inviati a un server impegnato in una condotta illecita.