Aplicación de WhatsApp falsa engaña a más de 1 millón de usuarios

Google play ha sufrido otro nuevo fallo de seguridad que ha llevado a que más de un millón de usuarios hayan sido engañados hasta descargar una versión falsa de Whatsapp en sus dispositivos, al estar esta disponible en la tienda oficial de Android.

WhatsApp suplantado engaña a muchos usuarios

Este WhatsApp falso ha sido visto hace escasos días en Google Play, intentando localizar los contactos de los usuarios –tal y como habría hecho la original- y lo peor es que aparecía como desarrollada por “WhatsApp Inc”, el mismo estudio que diseña la aplicación original. Por eso el número de usuarios engañados es tan elevado.

WhatsApp falso 1

El resto de aspectos (permisos solicitados, catalogación de la app, imágenes) eran asimismo idénticos, así que podemos hablar de una copia de WhatsApp bastante sofisticada.

¿Cómo hicieron los scammers para conseguir un copycat exacto de WhatsApp? La respuesta podemos encontrarla en un carácter Unicode que aparece como un espacio en blanco. Es decir, el desarrollador no era “WhatsApp Inc.” sino “WhatsApp Inc. “

Y aunque Google play debería haber tenido en cuenta el uso de retornos de carro (U+0020) de forma habitual, parece ser que la validación ha sido superada porque el carácter añadido representa un carácter Unicode idéntico.

WhatsApp falso 2

El “C2%A0” que se ve en la imagen se traduce en UTF-8 como 00A0, que es el carácter Unicode para espacio sin salto de línea.

Los deberes de Google

Google ha mejorado ostensiblemente la seguridad de su tienda de apps a lo largo de los últimos años, para impedir que aplicaciones peligrosas o no deseadas aparezcan listadas en su repositorio. Incluso llegó a incluir revisores “humanos” al estilo de Apple, pero parece que a Google siempre le encuentran algún fallo en su tienda de apps, la historia se repite.

En los últimos años no hemos parado de hablar de este tipo de situaciones, que se producen de tanto en tanto, así que conviene estar alerta y contar con un buen antivirus en nuestros dispositivos Android.

A pesar de lo dicho anteriormente, evidentemente la tienda de Google sigue siendo la opción más segura para descargar apps en Android, así que recomendamos que sea el primer y único lugar donde buscar apps para no comprometer (aún más) nuestra seguridad.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.