Continúan los envíos de mensajes SMS con supuestas entregas de paquetes que descargan troyanos bancarios

Ha sido una de las amenazas más comentadas durante las últimas semanas a pesar de que las primeras muestras se detectaron a finales de 2020. El envío de mensajes SMS se ha convertido en un importante vector de ataque para los delincuentes detrás de este tipo de campañas, y especialmente en España ha afectado a un importante número de usuarios a lo largo de estos últimos meses.

Distintos mensajes, mismo destino

La utilización de mensajes SMS ha resultado especialmente efectiva para propagar esta amenaza debido a que la mayoría de usuarios españoles están acostumbrados a recibir este tipo de comunicaciones cuando están esperando la entrega de un paquete por parte de alguna empresa de logística.

Los primeros ejemplos que vimos suplantando a Correos y DHL mencionaban a estas empresas en el mensaje, algo que también hacían los primeros mensajes suplantando a la empresa FedEx. Sin embargo, con la intensificación de estas campañas, los delincuentes detrás de ellas han empleado a todo tipo de empresas de logística (y otras que no tienen relación con el envío de paquetes) para tratar de convencer a los usuarios que los recibían de la necesidad de pulsar sobre el enlace proporcionado.

En la imagen anterior podemos ver varios ejemplos de mensajes recibidos durante los últimos días. En esos SMS vemos como se mencionan a otras empresas como SEUR o Nacex, e incluso se omite la mención de la empresa de logística y se indica solamente que hay un paquete pendiente de entrega o que no se ha podido entregar conforme estaba programado inicialmente.

A pesar de esto, y salvo alguna excepción reciente, el enlace incluido en estos SMS termina redirigiendo a una web comprometida por los atacantes, donde se emplea la plantilla de FedEx para indicar la necesidad de descargar e instalar una aplicación para realizar el seguimiento del paquete que se está esperando.

Precisamente, resulta curioso que esta plantilla haya sido la que más víctimas haya obtenido para los delincuentes responsables de esta amenaza, ya que FedEx no es una empresa de logística tan reconocida en España como lo puedan ser Correos, Seur o MRW. Sin embargo, si hacemos caso al informe presentado recientemente por la empresa de seguridad Prodaft, alrededor de 60.000 usuarios españoles habrían descargado e instalado esta aplicación maliciosa y los delincuentes habrían conseguido obtener nada menos que 11 millones de números de teléfono españoles.

El peligro de estas campañas maliciosas

Ya hemos comentado anteriormente que la finalidad detrás del envío masivo de estos SMS es la de conseguir acceder a las cuentas bancarias de las víctimas para sustraerles el dinero. Esto se consigue detectando las aplicaciones instaladas relacionadas con la banca online y superponiendo pantallas fraudulentas encima de la aplicación original usando la técnica conocida como Overlay.

Una vez los delincuentes consiguen las credenciales de acceso a las aplicaciones de banca online, acceden a la cuenta del usuario e intentan realizar una transferencia a otra cuenta controlada por ellos. Las entidades bancarias han ido incorporando medidas de seguridad durante los últimos años para dificultar estos robos, siendo el envío de SMS con un código de verificación temporal de un solo uso una de las más utilizadas. Por ese motivo, una de las funcionalidades que tiene este troyano bancario para Android es la de interceptar estos mensajes, de manera que la víctima no los ve y son utilizados por los delincuentes para autorizar la transferencia de dinero.

Además, en las últimas variantes los delincuentes también están utilizando los dispositivos infectados para propagar esta amenaza, valiéndose de la agenda de contactos de la víctima para enviarles estos mensajes maliciosos. Esto también ocasiona un gasto a la víctima, puesto que este tipo de mensajes conllevan un coste si no se dispone de una tarifa que incluya su envío de forma gratuita. Se puede consultar un completo análisis técnico en español acerca del funcionamiento de esta amenaza en el informe elaborado por la empresa Hispasec.

Si se ha sido víctima de esta amenaza es posible eliminarla del dispositivo infectado de varias formas, siguiendo tutoriales como los que han preparado los compañeros de Xataka. Además, podemos prevenir futuras infecciones de esta y otras amenazas instalando una solución de seguridad como ESET Mobile Security, que mantendrá nuestros dispositivos protegidos.

Conclusión

A pesar de que el número de usuarios que se han visto afectados o han recibido alguno de estos mensajes SMS ha sido elevado, y aun con las alertas que se están enviando desde hace tiempo a la ciudadanía por parte de Fuerzas y Cuerpos de Seguridad y medios generalistas, es muy probable que estas campañas o alguna variación de las mismas siga obteniendo buenos resultados. Por ese motivo,  es recomendable alertar a nuestros amigos y familiares de este tipo de amenazas para que ellos también aprendan a reconocerlas y a proteger sus dispositivos adecuadamente.

Josep Albors

“Proceso de liquidación tributaria”: falso email de la Seguridad Social descarga troyano bancario