Hola, quería preguntaros que programa usáis como linterna que de él máximo de luz pues no se si es del programa que uso (linterna) o es el propio flash del teléfono que da poca luz

Tiny flash light

Mira karman cualquiera de esas aplicaciones de linterna que trabaje con el flash de la camara alumbran igual, eso sí lo único buscar alguna que te meta la mínima publicidad posible,yo utilizaba una que se llama linterna sin mas y la termine borrando porque no veas la de publi que metia.....ahora lo que hago es meterme en la cámara y darle a la opción antorcha, con lo que se queda fija el haz de luz,,, saludos

Por cierto... No viene casi al caso pero joder es que esoy quemado por lo de la publi,no se como lo hacen pero algunas aplis creo que te toman los datos y luego no hacen mas que llamarte números raros,algun amigo me dice que te suscriben a promociones y te cobran....vaya tela,,, debería estar prohibido

Y por que no usais el widget de la linterna? El que viene de serie, si va a alumbrar igual... Que por cierto, el flash del z1 me tiene decepcionadisimo, vamos alumbra poco poco. Es un led de luz muy pobre comparado con otros moviles

Y por que no usais el widget de la linterna? El que viene de serie, si va a alumbrar igual... Que por cierto, el flash del z1 me tiene decepcionadisimo, vamos alumbra poco poco. Es un led de luz muy pobre comparado con otros moviles

Hola, yo no tengo el widget ni la apk de la linterna de serie del Z1...de donde lo descargaste...o que rom tienes...
Saludos.

Y por que no usais el widget de la linterna? El que viene de serie, si va a alumbrar igual... Que por cierto, el flash del z1 me tiene decepcionadisimo, vamos alumbra poco poco. Es un led de luz muy pobre comparado con otros moviles

Yo tampoco tengo ningun widget de linterna, mi Z1 es de vodafone.

http://img.tapatalk.com/d/14/01/30/7apanu5e.jpg

El mio es libre, llevo la 4.3 Central Europea si no recuerdo mal

Cual quier app o la que trae ya la Z1 es una caca de luz si ven al tirar una foto con luz de lleno salee muuucha luz pero en linterna o antorcha en vídeo sale una caca como usarlo de linterna

http://img.tapatalk.com/d/14/01/30/7apanu5e.jpg

El mio es libre, llevo la 4.3 Central Europea si no recuerdo mal

Esa linterna que enseñas es la tiny flash light. La podeis descargar desde la tienda, no es oficial de sony

Esa linterna que enseñas es la tiny flash light. La podeis descargar desde la tienda, no es oficial de sony

Cierto, me acabo de dar cuenta, la tenia instalada y creia que al llamarse 'linterna' era propia de sony. Como bien comenta el compi, es la tiny flash light.

Yo uso tambien la Tiny flash light y por cierto, Skullknight, a mi me paso eso con la apli de call blocker, me suscribi sin saberlo a una serie de mensajes, gracias a que me di cuenta en el primero que me mandaron y mi compañia me lo anuló.

Pero no es lo mismo la app original del fabricante..sin publi ni historias...que las que hay por ahi con publi molesta...

Sacado de otro foro

Os invito a que os leáis este artículo sobre malware y spyware en android, es muy interesante. Aunque es un mega tochazo cuenta cosas que flipas. Tened muchísimo cuidado con lo que os instaláis en vuestros teléfonos.

El autor se ha pegado un curro que no veas, lo he sacado de este blog.

Fuente: http://www.elladodelmal.com/2014/01/la-estafa-de-la-linterna-molona-que.html

Somos un par de programadores de apps para móviles a los que nos gusta venir a El lado del mal a leer los artículos y nos hemos decidido hoy a contaros esta historia en la que se puede ver que un cibercriminal, se ha montado un chiringuito con las apps de Android para hacer fraude online y comprarse un chalet un en la playa o donde quiera, por si alguno de vosotros puede avisar a amigos y compañeros de que eviten este problema o por si estáis puesto con este tipo de malware y os apetece investigar un poco más.

Parte 1: Del gancho en Facebook al SMS de pago por Vodafone

Hace poco mi colega vio un anuncio a través de Facebook en el que un amigo suyo había publicado un post sobre una app para Android que supuestamente ofrecía una linterna molona para el móvil que "...hace brillar el led mas que ninguna otra app de linternas y totalmente gratuita...".

Ni corto ni perezoso mi compañero se la descargó con intención de decompilar el código y así aprender cómo demonios hacía eso de hacer brillar más el led. ¿Sería algún parámetro trucado en alguna función de la API? ¿Sería alguna función oculta? Había que resolver el misterio y por el camino llegó la sorpresa, que mató al gato por su curiosidad.

http://3.bp.blogspot.com/-CQpVZ0KEBu4/UugRPS2eBfI/AAAAAAAAS94/ME9QvKg49EI/s1600/Android_linterna_1.png
Figura 1: Linterna Led a.k.a "Linterna Molona" en Google Play

Al descargarse la app no había supuestamente ningún servicio que pudiera acarrear coste alguno. Según la lista de información que acompañaba a la app, ésta podía leer mensajes y conectarse a Internet pero para nada decía que pudiera enviar mensajes de ningún tipo - con o sin coste - o hacer llamadas, por lo que continuó con la descarga. Sin embargo, nada más ejecutarse, esta app lee tu número de teléfono, se conecta a Internet y da de alta el número de teléfono de la víctima en una página de servicios ofrecidos vía mensajes SMS. Rápida y mortal.

En este caso en concreto, nada más instalarte la app y que te de alta en un servicio de mensajes SMS de pago, Vodafone manda de forma instantánea un mensaje con un PIN al dueño del número de teléfono para que autorice el alta en este servicio. Este mensaje que se recibe no tiene coste, es solo una medida de seguridad que en este caso Vodafone implementa para evitar la suscripción automática de personas a los servicios de pago, aunque como veremos más adelante no son tan seguros los métodos empleados para el registro.

Lo que sucede es que la aplicación en tu Android está esperando ese mensaje SMS que llega desde Vodafone para leerlo - ya que tiene permiso para hacerlo -, extraer el PIN de seguridad del mensaje y autorizarse ella solita en la misma página Web de los servicios de pago para confirmar la suscripción.

La lectura de estos mensajes SMS desde una app es algo que se puede hacer desde código y que se explica en el libro de Desarrollo de Android Seguro (http://0xword.com/es/libros/35-libro-desarrollo-aplicaciones-android.html), ya que es muy utilizado por el malware en el mundo de Android. En el caso del troyano para espiar Android (http://www.elladodelmal.com/2013/11/troyano-para-espiar-un-android-o-para.html) es lo que se utiliza para controlar remotamente al bot de espionaje instalado.

Por supuesto, una vez que has confirmado la suscripción - Vodafone supone que has sido tú y no una app maliciosa en tu terminal móvil por su cuenta - se ha autorizado al proveedor de servicios a enviar mensajes SMS con coste, que te serán cargados en la factura.

No contento con eso, para conseguir la viralización del negocio, si tienes instalada la app de Facebook en tu terminal Android, la linterna molona publica en tu nombre un post contando las virtudes de la famosa linterna para que tus amigos la prueben también a ver cómo diablos se consigue tener una linterna que ilumina tanto.

Parte 2: ¿Pero esto qué es?

Cabreado como una mona - pues a ningún profesional en el tema le gusta que "se la metan" y si no que se lo digan a Eagle cuando le enchufaron desde Cydia la app que hacía click-frauden su iPhone - (http://www.seguridadapple.com/2012/08/desubierto-adware-en-cydia-para-hacer.html) mi compañero averiguo esto a posteriori no sin antes restringir rápidamente el servicio en Vodafone, para a continuación decompilar la app y destripar cómo funcionaba el tinglado.

Para destripar un poco el funcionamiento procedimos a descompilar la aplicación usando dex2jar (https://code.google.com/p/dex2jar/) para obtener el código fuente mas o menos legible, y digo mas o menos porque estaba ofuscado utilizando Proguard (http://proguard.sourceforge.net/). Usamos también el explorador de ficheros JAR llamado JD-GUI para Windows (https://code.google.com/p/innlab/downloads/detail?name=jd-gui-0.3.3.windows.zip&can=2&q=) para abrir el JAR decompilado y APKTool (https://code.google.com/p/android-apktool/) para extraer los recursos de la aplicación, es decir imágenes, documentos XML y demás recursos embebidos.

El identificador único de la aplicación para Android es com.linterna.molona. La verdad es que con ese nombre no prometía mucho, pero luego hay que reconocer que se han trabajado el sistema hacer el registro automatizado y la viralización de la estafa. La aplicación fue retirada de Google Play a los pocos días pero aun existe en algunas páginas en la caché de Google en la que se puede ve (http://webcache.googleusercontent.com/search?q=cache:bpZbWOw4NPYJ:https://play.google.com/store/apps/details%3Fid%3Dcom.linterna.molona+&cd=2&hl=es&ct=clnk)r - y con muy buena valoración de la misma -.

http://1.bp.blogspot.com/-hMKDig0btU0/UugRN4JEHeI/AAAAAAAAS9w/egG86rU3-VQ/s1600/Android_linterna_2.png
Figura 2: Valoraciones y descargas tal y como se ve en la caché de Google

La app ha sido retirada por Google, en los foros tenía quejas de usuarios, pero después de superar más de 10.000 descargas, ya que el ratio en Google Play está entre 10.000 y 50.000 instalaciones desde el 23 de Diciembre del año pasado, lo que es una pasada.

En otros foros como AppsZoom (http://es.appszoom.com/android_applications/tools/linterna-led_iznhl_comments.html) aparece aún disponible y en ellas hay ya más de 100.000 descargas y muchas quejas de víctimas. Con la friolera de 100.000 a 500.000 descargas, multiplicadas cada una por 1.5 € en el mejor de los casos…haced cuentas..

http://4.bp.blogspot.com/-l1739cFD0S4/UugRPjCBCBI/AAAAAAAAS-A/hHCCzVN0K_4/s1600/Android_Linterna_3.png
Figura 3: Linterna LED en AppsZoom aún disponible

Desde luego, viendo esto la credibilidad de sitios como AppsZoom que siguen distribuyendo esta app y creando más y más víctimas de esta estafa. Lo único bueno que tiene esto es que si te gusta la seguridad y quieres analizar bien la estafa, tienes fácil localizar el malware. Está a la vista de todos, ahí, en sitios que se presentan como índices de apps para terminales móviles.

En el sitio se puede ver que el supuesto desarrollador parece ser un tal Rylan Roach pero es fácil suponer que será un nombre falso. Si el tipo éste se pilla un LiveCD con una distribución de TOR, se da de alta en Google Play con una cuenta en las Islas Caimán para cargar los 20 USD y a ver quién lo encuentra ahora. A Google Play, por desgracia, puede subir una aplicación hasta el gato de tu prima y como hemos visto, con la desfachatez de decir que eres Apple (http://www.seguridadapple.com/2012/11/iwork-o-imovie-para-android-una-estafa.html) o si lo prefieres que eres WhatsApp (http://www.seguridadapple.com/2013/10/el-malware-se-aprovecha-de-whatsapp-en.html) y nada más pasa.

Por supuesto se ha puesto una denuncia y la Guardia Civil y su Grupo de Delitos Informáticos se ha puesto en contacto para obtener el código fuente e incluso se han interesado en verse en persona para que se explique en detalle todo lo que se ha descubierto: URLs, empresas implicadas - la Web de servicios de esta estafa es malagueña, etcétera. Como apunte decir que la web que ofrece esos servicios premium:

- No va con protocolo https
- Los parámetros van por GET en la URL
- No dispone de captchas para impedir el registro automátizado por parte de malware

Parte 3: ¿Pero cómo es esto posible?

Analizando la app, se puede ver que tiene los siguientes permisos, y aunque si bien es cierto no requiere enviar ningún mensaje SMS, sí que puede recibirlos y aprovecharse de la forma de darse de alta en la web de servicios de coste a los SMS.

<uses-permission android:name="android.permission.CAMERA" />
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
<uses-permission android:name="android.permission.GET_ACCOUNTS" />
NO TIENE PERMISO:
<uses-permission android:name="android.permission.SEND_SMS" />

Se puede observar que según Android el llamar por teléfono o enviar mensajes SMS puede comportar costes adicionales, evidente. Pero leer mensajes SMS NO comporta gastos adicionales, algo que como vemos es un error, ya que una app capaz de leer un mensaje SMS puede comportar gastos adicionales,en tanto en cuanto puede leer un PIN de alta de confirmación de Premiun o cosas peores.

http://4.bp.blogspot.com/-9ei-Y4LUE0I/UugTOReUwUI/AAAAAAAAS-Y/wVLEgz_YJjs/s1600/Android_SMS_Estafa0.png
Figura 4: Los permisos de la app que pueden y "que no" pueden acarrear costes

Otra curiosidad es que el funcionamiento habitual de Alta Premium según Vodafone (http://ayudacliente.vodafone.es/system/selfservice.controller?CONFIGURATION=1000&LEVEL_ID=26326&PARTITION_ID=1&CMD=VIEW_ARTICLE&LANGUAGE=es&COUNTRY=es&FEATURE_TOP_ID=26324&PARENT_TOPIC_ID=26324&TOPIC_ID=26337&ARTICLE_ID=283627&DISPLAY=SUBTOPICARTICLES&HANDLERMODE=NOJSPAGE) es el siguiente:



Este procedimiento de “Alta Web” es totalmente inseguro, una aplicación de Android puede suplantar todas estas acciones de manera fácil con permiso de Leer SMS (que no comporta gasto). Esto se puede solucionar obligando a que se envíe el típico mensaje de “ALTA 123345 CODIGO” deba ser enviado con un SMS algo que los usuarios tienen más interiorizado y saben que conlleva riesgos si se da este permiso a una app. El sistema Alta Web es inseguro e innecesario. Esto unido a que por defecto en Vodafone los servicios Premium están activados cierra el circulo de la estafa.

Además, para hacer uso de este último sistema de Alta Web con tu "consentimiento", al entrar en la aplicación aparece un mensaje para aceptar las condiciones de uso.

http://3.bp.blogspot.com/-t4EwF0c7HoE/UugSmPy-s_I/AAAAAAAAS-I/CMgU1HMjBl8/s1600/Android_SMS_Estafa1.png
Figura 5: Consentimiento para estafarte pedido por la linterna molona

Afinando la vista se puede ver que la aplicación incluso avisa de que “Pulsando ACEPTAR enviaras el PIN para proceder al ALTA……” Todo ello en letra pequeña y con un contraste mínimo. ¿No lo has visto en la pantalla anterior? Aquí tienes un zoom para que te fijes lo asequible que está.


Figura 6: El consentimiento (aumentado) haz clic aquí para abrirlo (http://3.bp.blogspot.com/-DVGJixJmO0A/UugS44EIxFI/AAAAAAAAS-Q/8qaAguRqfYg/s1600/Android_SMS_Estafa2.png)

Y pulsando en el enlace “Términos y Condiciones” remite a la siguiente URL (http://t.mediacontent.mobi/templates/terms/terms.php?phone=795675) donde se te avisa del palo que te van a dar como des en Aceptar.

http://4.bp.blogspot.com/-cPSyFaIedrY/UugTtSC5qzI/AAAAAAAAS-g/NbAYmGgzMIE/s1600/Android_SMS_Estafa_4.png
Figura 7: Las condiciones de la estafa que te van a calzar

La app además va cambiando de proveedores de Servicios Premium y repartiendo las suscripciones a diestro y siniestro en múltiples sitios, con lo que hace más difícil el luchar contra una estafa tan capilarizada.

Parte 4: Y esto es todo amigos

Para más INRI te suscriben a este tipo de servicios que seguro que para muchos de vosotros, como para mí, es absurdo hasta suponer que alguien se pueda creer - y menos un juez - que estos son contenidos por los que a día de hoy se pagaría masivamente.

http://2.bp.blogspot.com/-x-xSHzI8j9U/UugUWvoE0VI/AAAAAAAAS-o/MI5DlRdoFME/s1600/Utradivertidos.png
Figura 8: El servicio por el que seguro que tú pagarías 36 € al mes

Visto todo esto, y por concluir, podemos decir que un cibercriminal con conocimientos de programación de apps de los que se pueden obtener en un buen curso de desarrollo de apps para terminales móviles o con la lectura del pack BYOD (http://0xword.com/es/libros/47-pack-libros-byod.html), un poco de mala uva y visión de "negocio", sumados a un sito Web de servicios que ofrece un sistema de registro totalmente inseguro - no sé si intencionadamente o por falta de profesionalidad de los programadores de la misma -, más el control poco exhaustivo de las aplicaciones por parte de Google Play (http://blog.elevenpaths.com/2013/10/whatsapp-falso-adware-en-google-play.html) del que tantas y tantas veces se ha quejado todo el mundo, ha propiciado esta estafa.

Seguro que visto el éxito, este negocio se estará dando en más países y que seguramente va a acabar con el cierre de la Web - veremos si además con un multazo por incumplir alguna ley -, y con el cibercriminal con un chalet en la playa, que a ver quién es el guapo que le echa el guante.

Autores:
José C. Agudo & Miguel Ángel Cardenete