Auge de los mensajes SMS como vector de ataque

De un tiempo a esta parte, los mensajes SMS se han convertido en uno de los vectores de ataque preferidos por los delincuentes a la hora de propagar sus amenazas. Este veterano método de comunicación que actualmente suele utilizarse únicamente por empresas u organismos oficiales para enviar mensajes de cierta importancia ha sido aprovechado de forma intensa en los últimos meses en numerosas campañas de malware, algo que no parece que vaya a disminuir a corto plazo.

Phishing de varios tipos

Uno de los usos para el cual los delincuentes han utilizado los mensajes SMS desde hace algún tiempo ha sido para suplantar la identidad de empresas que suelen usarlos para comunicarse con sus clientes. Ya sea para informar de la llegada de un paquete o para enviar códigos de confirmación a la hora de realizar transferencias bancarias, empresas de logística y entidades bancarias son unas de las empresas que más emplean el envío de este tipo de mensajes.

Los delincuentes son conocedores de este hecho, por lo que no ha sido extraño ver cómo, además de las clásicas campañas enviadas a través del correo electrónico, han estado usando el SMS para tratar de engañar a los usuarios para que accedan a webs fraudulentas que se hacen pasar, por ejemplo, por la de una entidad bancaria. Seguidamente se solicitan las claves de acceso e incluso los códigos de verificación enviados precisamente por SMS para poder realizar el robo de dinero desde la cuenta de la víctima.

Esta técnica es algo que vimos puntualmente hace algún tiempo pero que ha ido aumentando considerablemente durante los últimos meses. Además de la suplantación de entidades bancarias, los delincuentes también han suplantado a empresas de logística para conseguir que las víctimas introduzcan sus datos personales y los de su tarjeta de crédito en webs fraudulentas.

De hecho, se han realizado operaciones policiales en España hace algunos meses que han terminado con la detención de los delincuentes detrás de esta campaña, como la anunciada por los Mossos d’Esquadra a principios de marzo, y que algunos medios internacionales confundieron con otro tipo de amenazas que también usan los SMS, como las que vamos a ver a continuación.

Descarga de aplicaciones maliciosas

Sin duda alguna, el mayor uso malicioso que se le está dando a los mensajes SMS actualmente es el de tratar de engañar a los usuarios que los reciban para que descarguen aplicaciones maliciosas en sus dispositivos Android, especialmente troyanos bancarios. Esto es algo que empezó a intensificarse en la segunda mitad del 2020 con ejemplos como el de la falsa aplicación de Flash Player observado en el mes de agosto y que usaba un SMS con una supuesta fotografía personal como gancho.

Pero la verdadera revolución empezó a mediados de diciembre de 2020, cuando empezamos a observar campañas dirigidas a usuarios españoles volviendo a suplantar a empresas de logística como Correos pero que, en lugar de redirigir a la víctima a una web donde se solicitaban datos personales, se presentaba una web en la que se invitaba a descargar una supuesta aplicación para poder realizar el seguimiento de un pedido.

El timing elegido por los delincuentes no podía ser más oportuno, ya que nos encontrábamos en plena campaña navideña y, debido a las restricciones provocadas por la pandemia, el comercio online aumentó considerablemente su importancia, y durante esas fechas millones de paquetes fueron enviados a todos los puntos de España, por lo que las probabilidades de que alguna de las personas que recibiera este SMS estuviese esperando un paquete eran elevadas.

Esta campaña tuvo tanto éxito que los delincuentes no dudaron en volver a realizar acciones similares durante las semanas siguientes, aumentando también el número de empresas suplantadas a otras como DHL, FedEx, MRW o, más recientemente, UPS. Independientemente de la empresa suplantada, los delincuentes han utilizado mensajes SMS con todo tipo de ganchos, incluso mencionando a otras empresas de logística, tal y como podemos ver a continuación.

Como hemos indicado, en estas campañas los delincuentes se toman la molestia de preparar un web que utiliza la imagen y el logo corporativa de la empresa suplantada. En estas webs, además de proporcionar la descarga de esta aplicación, se ofrece instrucciones para su instalación ya que, por defecto, el sistema Android no permite la instalación de aplicaciones desde fuentes que no sean de confianza.

En el momento de escribir este artículo, estas campañas ya se han extendido por buena parte de Europa e incluso están llegando a países lejanos como Estados Unidos o Japón. Esto podría ser un indicio de que los desarrolladores de este malware (conocido comúnmente como FluBot) podrían estar alquilándolo a otros grupos criminales.

De hecho, viendo el éxito de estas campañas, otros grupos de delincuentes han empezado a imitar sus tácticas para propagar sus propias amenazas, ya sean derivadas de familias de troyanos bancarios ya conocidos anteriormente como Anubis/Cerberus/Alien o de malware de reciente creación como TeaBot.

Campañas de vacunación

Una de las principales preocupaciones que tenemos en el laboratorio de investigación de ESET España es que los delincuentes aprovechen otras temáticas además de la suplantación de entidades bancarias y empresas de logística. Una de las campañas que actualmente más daño podría causar sería aquella que suplantase a los organismos sanitarios regionales y sus mensajes para citar a los ciudadanos a vacunarse contra la COVID-19, algo que ya se ha observado en países como la India, según la información proporcionada por nuestro compañero Lukas Stefanko, experto en el análisis de amenazas dirigidas a dispositivos Android.

Con la campaña de vacunación en nuestro país avanzando a buen ritmo y comenzando a vacunar a grupos poblacionales cada vez más numerosos, un mensaje de este estilo pero traducido y adaptado a para usuarios españoles podría tener, por desgracia, un éxito considerable. Si bien es importante destacar que cada comunidad o ciudad autónoma tiene su propio protocolo a la hora de enviar estos SMS, tampoco sería difícil realizar uno genérico que sirviese como gancho, por lo que debemos andar con cuidado a la hora de pulsar sobre los enlaces proporcionados por este tipo de mensajes, aunque parezcan provenir de organismos oficiales.

Conclusión

Tras realizar un repaso a las principales campañas que utilizan mensajes SMS para propagarse y el éxito conseguido por varias de ellas, es importante recordar que los delincuentes se aprovechan de aspectos clave como no confirmar el remitente del mensaje, pulsar sobre cualquier enlace proporcionado sin revisar previamente si puede ser malicioso o la falta de una solución de seguridad instalada en el dispositivo para conseguir nuevas víctimas. Está en nuestras manos prevenir este tipo de amenazas y, de paso, ayudar a los usuarios menos experimentados que se han tenido que adaptar a marchas forzadas durante los últimos meses a usar una tecnología a la que no estaban acostumbrados.

Josep Albors

Troyano bancario para Android se hace pasar por aplicación de Barceló