Continuan los SMS con falsos envíos de FedEx: cómo identificarlos y eliminar esta amenaza

Si hay una campaña de propagación de malware que se está cebando especialmente con los usuarios españoles durante las últimas semanas esta es, sin lugar a dudas, la protagonizada por los mensajes SMS de aviso de entrega de paquetes. Estos mensajes contienen un enlace a la descarga de una supuesta aplicación de una conocida empresa de logística, que primero fue Correos, luego DHL, y desde unas semanas FedEx.

Enlaces en mensajes SMS

Buena parte del éxito de estas campañas se debe a la utilización de mensajes SMS en lugar de correos electrónicos u otros servicios para enviar la información relacionada con el supuesto envío y el enlace para la descarga de la aplicación fraudulenta. Ya casi nadie usa estos mensajes para temas particulares y estos han quedado relegados a comunicaciones oficiales, notificaciones bancarias o, como en este caso, avisos de entrega de paquetes.

Hemos de tener en cuenta que la mayoría de los envíos de estos mensajes SMS se realizan desde los móviles de los usuarios que han sido infectados previamente. Por ese motivo, en los mensajes que se están recibiendo durante los últimos días es posible que veamos el nombre del destinatario o incluso parte de su dirección postal ya que esta amenaza toma los datos de los contactos guardados en los dispositivos infectados.

También es importante destacar que, al contrario de lo que sucedía en las campañas en las que se suplantaba a Correos y DHL, los delincuentes no registran dominios para alojar la aplicación maliciosa. En su lugar, comprometen webs legítimas y las utilizan para colocar allí las diferentes variantes que van actualizando.

Gracias a investigadores como Daniel López, responsable del portal phishunt.io, podemos ver como estos dominios comprometidos se actualizan de forma continua con nuevas webs comprometidas por los delincuentes.

De esta forma se aseguran de que las aplicaciones maliciosas sean más difíciles de detectar por aquellas soluciones especializadas en detectar webs fraudulentas ya que, al alojarse en sitios legítimos, es difícil que estos se encuentren en listas negras.

Descarga e instalación de la aplicación

Al acceder mediante un smartphone a alguno de los enlaces comprometidos y usados por los delincuentes veremos la misma plantilla que se ha venido usando desde hace semanas para tratar de engañar a miles de usuarios en nuestro país. En esa pantalla se nos invita a descargar una aplicación para realizar el seguimiento del supuesto envío e incluso se nos proporcionan las instrucciones paso a paso para hacerlo.

El motivo de explicar detalladamente el proceso de instalación se debe a que, al tratarse de una aplicación descargada desde un sitio no oficial como Google Play, el usuario debe primero autorizar la instalación de apps desconocidas en su dispositivo. Seguidamente debe buscar la aplicación descargada y ejecutarla manualmente para que se inicie el proceso de instalación. Es importante recordar que esta aplicación maliciosa no se instala de forma automática al acceder al enlace que nos han enviado por SMS.

Además, esta aplicación solicita un permiso especial como es el de Accesibilidad. Gracias a este permiso, la app maliciosa impide su desinstalación de la forma habitual, siendo necesario realizar unos pasos previos para tratar de deshacerse de ella.

Debido a que esta aplicación tiene como finalidad principal suplantar las aplicaciones de banca online instaladas en el dispositivo de la víctima para que esta introduzca sus credenciales y así los delincuentes puedan robar dinero de su cuenta, resulta especialmente peligrosa por el perjuicio económico que puede llegar a causar. Además, aun sin tener en cuenta esa pérdida económica, el que use el dispositivo de la víctima para propagarse mediante SMS ya puede suponer un importante gasto ya que el envío de estos mensajes sigue teniendo un coste en algunas tarifas.

Eliminando la aplicación

Como acabamos de ver, esta aplicación maliciosa puede causarnos un importante problema y es normal que aquellos que la han descargado en sus dispositivos Android (esta app no afecta a dispositivos iOS como el iPhone) quieran saber cómo eliminarla. La primera opción pasa por utilizar un antivirus como ESET Mobile Security que es capaz de detectar y eliminar estas amenazas (y de impedir su instalación en un futuro).

También podemos probar a desinstalarla de forma manual, aunque el éxito de esta acción dependerá del modelo del dispositivo Android usado y la versión del sistema operativo instalado. Como ya hemos indicado previamente, esta aplicación pide permisos de accesibilidad para, precisamente, resultar más difícil de desinstalar, por lo que lo primero que debemos hacer es acceder a la opción de Ajustes > Ajustes adicionales > Accesibilidad de nuestro dispositivo y tratar de localizar esta aplicación.

Una vez en este apartado (que puede variar dependiendo del modelo y de la versión del sistema operativo) debemos tratar de detener la aplicación. También es posible intentarlo desde el apartado Ajustes > Aplicaciones, aunque varios usuarios han indicado que esta aplicación no aparece en sus dispositivos al buscarla en esta ubicación.

Cuando hayamos localizado la aplicación Fraudulenta de FedEx es muy probable que se muestre constantemente una ventana emergente que impida terminar la desinstalación. Algunos usuarios afectados han indicado que siendo lo suficientemente rápidos han conseguido cerrar esta ventana y seguir con la desinstalación de forma habitual. Por su parte, usuarios de dispositivos Huawei han indicado que, mediante la utilización de la aplicación HiSuite han podido acceder desde su ordenador al dispositivo para eliminar la aplicación remotamente.

La opción más extrema consiste en restablecer el dispositivo a sus valores de fábrica, aunque siempre recomendamos hacer una copia de seguridad de archivos como fotografías, vídeos o documentos que queramos conservar antes de aplicar esta medida.

Conclusión

No cabe duda de que los delincuentes han encontrado un filón que están explotando activamente y lo seguirán haciendo mientras consigan las víctimas suficientes. Es probable que veamos otras campañas similares usando otras empresas de mensajería a corto o medio plazo o incluso que los delincuentes cambien la temática pero sigan empleando la misma táctica. En cualquier caso, es conveniente que protejamos nuestros dispositivos con soluciones de seguridad capaces de detectar y eliminar este tipo de amenazas.

Josep Albors

Resumen de amenazas más destacadas durante febrero