![[Actualizado] Weather Forecast, la popular app del tiempo de Alcatel, en el punto de mira por recopilar datos personales](https://i.blogs.es/011b96/alcatel/450_1000.webp)
De acuerdo a un informe de la firma de seguridad Upstream, Weather Forecast, la aplicación del tiempo que viene preinstalada en los móviles Alcatel, ha estado recopilando datos personales de los usuarios y mandándolos a China. Dicha aplicación ha sido desarrollada por TCL Communication Technology Holdings Ltd, conglomerado empresarial con sede en Shenzhen y dueño de otras marcas como Blackberry.
Según Upstream, tras detectar una serie de transacciones fraudulentas en Brasil y Malasia, descubrieron que la aplicación, que tiene "numerosos permisos invasivos", recoge datos de geolocalización, direcciones de correo y hasta el IMEI y los manda a China. Para más inri, la aplicación ha llegado a intentar suscribir de forma fraudulenta a los usuarios de Brasil, Malasia y Nigeria a servicios de pago relacionados con la pornografía y la realidad virtual.
Disponible para todos en Google Play y actuando en segundo plano
Weather Forecast en Google Play.
Weather Forecast no es una aplicación exclusiva. De hecho, está disponible en la tienda de Google y es compatible con cualquier dispositivo con Android 4.4 KitKat o superior. Actualmente cuenta con más de 10 millones de descargas y una puntuación de 4,4 estrellas. Upstream afirma que los smartphones afectados son los Pixi 4 y los A3 Max y que se detectaron y bloquearon transacciones ilegítimas en Nigeria, Sudáfrica, Egipto, Kiwait, Túnez, Brasil y Malasia.
Para investigar el comportamiento de la aplicación, los investigadores compraron a uno de los usuarios afectados un Alcatel A3 Max. Descubrieron que el dispositivo había hecho 500 peticiones de transacciones fraudulentas entre los meses de julio y agosto. Contactaron con más usuarios para confirmar este comportamiento y no solo lo confirmaron, sino que "la mayoría se quejaban del sobrecalentamiento", algo que achacan a un uso intensivo e injustificado del procesador.
Algunos de los anuncios a los que accedía la app en segundo plano - Imagen: Upstream Systems.
Nada más iniciar el dispositivo, la aplicación Weather Forecast hace una llamada a unos servidores que "no tienen nada que ver con el funcionamiento del aplicación". De la misma forma, en segundo plano la app accedía a webs de anuncios (en concreto, al dominio traffic.tc-clicks.com) relacionados, como adelantábamos anteriormente, a la pornografía y los servicios de realidad virtal. "Los clics fraudulentos activaron la compra de una suscripción pagada (y los consiguientes cargos al usuario", afirman desde Upstream.
Otro ejemplo peculiar que señalan es que, en una ocasión, la app "pasó por varias direcciones URL que finalmente desembocaron en la página de compra de un servicio digital de la operadora TIM Brasil". Es la más grande del país y es curioso puesto que la tarjeta SIM que fue introducida en el terminal era de dicha operadora. "La app procedió a hacer clic en el botón "Assinar" (suscribirse) [...] y lo repitió en la siguiente página, en la que el usuario debía confirmar la compra".
Desde Upstream destaca que la app solicitaba una enorme cantidad de permisos, destacando android.permission.READ-LOGS (que permite leer los archvivos de registro y puede contener información privada), android.permission.ACCESS-KEYGUARD-SECURE-STORAGE (para controlar el sistema operativo y bloquear o desbloquear el móvil en cualquier momento, aunque fue eliminado en versiones superiores a Android 4.4) y android.permission.READ-PHONE-STATE (que permite acceder al número de teléfono, entre otras cosas). El más interesante es el permiso BILLING, que sirve para gestionar compras dentro de la aplicación, aunque la aplicación no cuenta con micropagos.
En cuanto al alcance, en Brasil se han detectado y bloqueado 2,5 millones de transacciones fraudulentas entre julio y agosto del año pasado. Todas ellas provenían de solo 128.845 dispositivos. En Brasil fueron 428.291 transacciones y en Kuwai unas 79.000. La aplicación sigue disponible en Google Play y desde TCL afirman que están eliminando el acceso a SDK de terceros de sus apps móviles:
TCL Communication trabaja en estrecha colaboración con todos sus socios para garantizar que nuestros clientes disfruten de una gran experiencia al usar nuestros dispositivos móviles. Cada aplicación móvil que desarrollamos se envía a través de VirusTotal, que inspecciona cada aplicación con más de 70 analizadores antivirus diferentes y así garantiza una experiencia segura en Google Play Store, incluyendo aquellas aplicaciones que tienen socios de terceros adicionales que aprovechan nuestros SDK. Finalmente, cada aplicación pasa por los controles de seguridad de Google antes de aparecer en la Google Play Store. Incluso con todas estas medidas de seguridad, entendemos la necesidad de permanecer vigilantes de la seguridad de nuestros clientes, razón por la cual, al avanzar, estamos eliminando el acceso a SDK de terceros de nuestras aplicaciones móviles, con la excepción de Google y otros dispositivos globales de confianza y verificación limitados. También estaremos evaluando nuevos consultores de seguridad que pueden proporcionar una validación adicional de la seguridad de las aplicaciones móviles que desarrollamos.
Vía | Upstream Systems
