• Tweet

A más de seis meses que se dieran a conocer los primeros informes sobre cuentas comprometidas a gran escala de la popular tienda en línea iTunes de Apple, reportes publicados recientemente sugieren que las cuentas de los usuarios de iTunes siguen siendo usadas para compras de música, videojuegos y otros productos en el mercado negro.

Informes en los foros de Apple sugieren un patrón de compras fraudulentas de música y aplicaciones de iPhone que se remonta a noviembre. En la mayoría de los casos, con un usuario reportando 980 dólares en compras de iTunes falsas.

Apple no respondió a las solicitudes de información de Threatpost acerca de los hacks.

Los incidentes, que han ido en aumento desde principios de febrero, tienen similitudes a un reciente brote de hacks que salió a la luz en julio de 2010. En ese caso, los atacantes utilizaban el acceso a cuentas comprometidas de iTunes para comprar costosas aplicaciones de una serie de "granjas" de aplicaciones de iPhone, muchas con sede en China. Una cuenta de esos ataques, informó TheNextWeb.com, reveló una conexión entre las granjas de aplicaciones, manejada en asociación con un desarrollador específico, Thuat Nguyen, y las compras fraudulentas. Muchas de las aplicaciones publicadas por Nguyen se clasificaron entre las más vendidas en categorías como Book Apps en iTunes AppStore, debido a las compras fraudulentas.

En los últimos incidentes, que afectaron a usuarios de iTunes en EE.UU., Reino Unido y otros países, también hay una ola de compras fraudulentas que comparten similitudes. Los visitantes a foros de soporte de Apple informan de compras fraudulentas de fichas de póquer para la aplicación "Texas Hold"em" acreditadas al desarrollador del juego, un tal "Hongbin Sho". Otros reportan compras de aplicación fraudulentas acreditadas a un desarrollador usando el título "Lakoo" y "Gameislive Corporation Limited", que se remonta al menos hasta octubre de 2010.

En todos los casos, los usuarios informan de intrusiones a su cuenta de iTunes que consumen el saldo de las tarjetas de regalo de iTunes o, cuando las cuentas tienen tarjetas de crédito asociadas, acumulan cargos falsos en la tarjeta. En otros casos, los atacantes que han comprometido las cuentas las usan como fachada para hacer compras fraudulentas mediante una cuenta de tarjeta de crédito de terceros, eliminando la dirección del usuario y la información de la cuenta, sustituyéndola por información de otro titular de tarjeta, para después hacer las compras fraudulentas con eso.

No está claro exactamente cuál es la conexión entre las cuentas hackeadas y los responsables de la aplicación, pero este último grupo está muy bien escondido. El dominio Gameislive.com resuelve Lakoo.cn que contiene la información de contacto y enlaces a los diferentes juegos promovidos por Gameislive. El propio dominio está registrado a nombre de "Lakoo" con una dirección comercial en Kowloon, Hong Kong.

La seguridad de los mercados de aplicaciones móviles se ha convertido en un punto delicado para los proveedores de plataformas como Apple y Google. Deseosos de generar ecosistemas de gran cantidad de juegos para atraer a los usuarios a sus dispositivos de mano, los vendedores han sido acusados de hacerse de la vista gorda ante las prácticas oscuras y el trabajo mal hecho de los desarrolladores. En un foro organizado recientemente por la consultora SRA International, los expertos concluyeron que no había solución fácil para la seguridad móvil, y señaló a las tiendas de aplicaciones móviles como un talón de Aquiles.

Rob Smith, el director de tecnología de Mobile Active Defense dijo a la audiencia del "Mobile Security Symposium 2011" que los mercados móviles animan a los usuarios a pensar que las aplicaciones que están descargando han sido examinadas y son fiables, cuando a menudo ocurre lo contrario. El riesgo es, potencialmente, el acceso a los activos corporativos y los datos, advirtió.

Los usuarios del foro también acusaron a Apple de dar una respuesta mediocre a los incidentes de fraude. En la mayoría de los casos, la empresa parece haber devuelto el dinero que se perdió a través de las compras fraudulentas. En otros casos, sin embargo, Apple se limitó a sugerir a los usuarios cambiar su contraseña o contactar con el desarrollador en cuestión.