Es, sin duda alguna, una de las amenazas más importantes dirigidas a usuarios españoles de los últimos meses. Los mensajes SMS enviados a teléfonos móviles con supuestos avisos de entrega de paquetes y que suplantan a todo tipo de empresas de logística y comercios se han convertido en una plaga y, además, tienen a España como principal objetivo. Esta amenaza no ha saltado a los medios generalistas hasta hace relativamente poco, pero desde el laboratorio de ESET en España llevamos analizándola desde finales de 2020, gracias a la información compartida por varios investigadores como MalwareHunterTeam y Daniel López.
A continuación, mostramos una cronología resumida donde se pueden observar las diversas campañas que han afectado a usuarios españoles recientemente.
Campaña inicial: seguimiento paquete Correos (23 de diciembre)
A finales de diciembre de 2020 informábamos de esta campaña que descargaba muestras conocidas de troyanos bancarios para Android que se habían propagado previamente usando tácticas como la falsa aplicación de Flash Player. Sin embargo, en esta ocasión los delincuentes optaron por usar un aviso fraudulento de la llegada de un paquete mediante el envío de un SMS, algo que coincidía con fechas en las que se produce un elevado número de envíos de cara a la campaña navideña.
Mediante el empleo de un sencillo mensaje indicando “Tu envío está en camino”, los delincuentes adjuntaban un enlace que utilizaba el nombre de Correos en su dominio. Este dominio fraudulento alojaba una sencilla web en la que los usuarios podían descargarse una aplicación para Android con la que, supuestamente, realizar el seguimiento de ese envío. Se adjuntaban también instrucciones para realizar la descarga e instalación de esta app de forma manual, ya que, por defecto, Android no permite la instalación de aplicaciones desde orígenes desconocidos.
La finalidad de esta aplicación maliciosa no era otra que la de detectar el momento en que el usuario accedía a una app de banca online instalada en su dispositivo para superponer una pantalla fraudulenta. De esta forma, la víctima pensaba que estaba introduciendo las credenciales y códigos de verificación en la app legítima cuando en realidad estaba enviando estos datos a los delincuentes, quienes los usarían para acceder a su cuenta y robar el dinero.
Continúan las campañas de Correos (18 de enero)
Durante el mes de enero de 2021 observamos como estas campañas de envío de SMS con supuestos paquetes pendientes de entrega mediante correos continuaban activas, tal y como informamos a mediados de ese mes. Los mensajes SMS, las webs maliciosas y los troyanos bancarios eran muy similares a los observados anteriormente, por lo que no pocos usuarios siguieron cayendo en la trampa.
Primeras campañas usando a DHL (25 de enero)
A finales de enero observamos el primer cambio significativo en estas campañas. Correos dejaba de ser la empresa suplantada y los delincuentes pasaron a usar DHL como cebo. Cambiaron también los mensajes SMS y los enlaces usados, que ahora incorporaban el nombre de esta empresa en sus dominios para hacerlos más creíbles.
Las plantillas de las webs fraudulentas también se modificaron, pasando de adaptar la web anterior usada para suplantar a Correos a generar una web nueva que también incorporaba las instrucciones de descarga y ejecución de la aplicación maliciosa.
Inicio de la campaña de FedEx (12 de febrero)
A mediados del mes de febrero volvimos a observar un nuevo cambio importante en esta campaña. DHL dejaba de ser la empresa de logística suplantada y los delincuentes comenzaron a utilizar FedEx. Con ese cambio vino también el de la web fraudulenta y otro también significativo: se empezaron a dejar de utilizar dominios generados por los delincuentes y se pasó a usar enlaces pertenecientes a webs legítimas que habían sido previamente comprometidas para alojar el malware.
Continúan las campañas de FedEx (23 de febrero)
Durante las semanas siguientes se notó un incremento considerable en el número de SMS enviados. Además, en estos mensajes se dejó de hacer referencia a la empresa de mensajería empleada, si bien la web a la que dirigían seguía siendo la que suplantaba a FedEx. El aspecto más destacable del que informamos en nuestro post fue que en los mensajes SMS aparecía el nombre del destinatario, lo que nos hizo sospechar que las víctimas de campañas anteriores estarían enviando estos mensajes a los contactos de sus libretas de direcciones, aumentando el número de posibles víctimas en nuestro país de forma exponencial.
Campañas de FedEx consiguen numerosas víctimas (3 de marzo)
A principios de marzo, el volumen de envío de estos mensajes SMS ya era considerable. Además de tratar de robar las credenciales de acceso a las aplicaciones de banca online, pudimos comprobar como el troyano usaba los dispositivos infectados para seguir propagándose entre los contactos de las víctimas mediante el envío de SMS. Esto también provocaba un gasto adicional entre aquellos usuarios infectados, ya que este envío de mensajes se sumaba a su factura.
Estas campañas siguen en activo, detectándose numerosos dominios activos, tanto los utilizados por los delincuentes para alojar sus muestras (y que suelen pertenecer a webs legítimas que han sido previamente comprometidas) como los generados de forma aleatoria, y que sirven para alojar los centros de mando y control donde el troyano se conecta para recibir instrucciones y enviar las credenciales robadas.
Regreso a la plantilla de Correos (5 de marzo)
Curiosamente, el 5 de marzo detectamos una nueva campaña que volvía a utilizar la plantilla original de Correos vista por primera vez en diciembre de 2020. El procedimiento seguía siendo el mismo y los delincuentes se aseguraban (como en las campañas anteriores) de que su aplicación maliciosa consiguiese permisos especiales que dificultasen su detección y eliminación por parte del usuario, así como también la ejecución en segundo plano para detectar cuándo se intentaba abrir una app de banca online.
Conclusión y posible evolución futura
Viendo el éxito obtenido por estas campañas, es bastante probable que sigamos viéndolas propagarse por nuestro país durante las próximas semanas o meses. De hecho, ya se han empezado a detectar muestras de estos troyanos usando campañas similares suplantando a FedEx en Polonia, y es muy probable que los delincuentes prueben suerte en otros países de nuestro entorno.
Además, con el elevado número de números de teléfonos móviles recopilados, los delincuentes podrían lanzar otro tipo de campañas usando diferentes temas que podrían llegar a resultar incluso más efectivos, por lo que debemos permanecer vigilantes ante la recepción de SMS no solicitados y siempre verificar su procedencia antes de pulsar sobre cualquier enlace o descargar una aplicación.