Aun con el recuerdo reciente de las terribles inundaciones sufridas en Valencia y otros puntos de la geografía española hace apenas dos semanas y a punto de afrontar otro episodio de lluvias intensa, los delincuentes no pierden la oportunidad de aprovecharse de esta tragedia para tratar de propagar sus amenazas.
El falso aviso de la AEMET
La Agencia Española de Meterología emitó ayer un aviso alertando de que se estaba suplantando su identidad mediante el envío de mensajes SMS a móviles de usuarios españoles. En estos mensajes se alertaba de tormentas severas y se instaba a descargar una supuesta aplicación oficial a través de un enlace que intenta confundir a los usuarios registrando un URL similar a la legítima pero con un dominio diferente (.blog en lugar del .es).
El momento elegido por los delincuentes no podría haber sido más adecuado, ya que las recientes inundaciones y la llegada de un nuevo frente con altas probabilidades de causar tormentas intensas hace que muchas personas estén atentas a la información meteorológica. En este punto, es importante destacar que esta campaña maliciosa está especialmente dirigida a usuarios de dispositivos Android, puesto que si, se accede a la web preparada por los atacantes, esta identifica el User Agent del navegador, redirigiendo a todos aquellos que no son Android a la web oficial de la AEMET y descargando una aplicación maliciosa en sistemas Android.
Desde hace varias versiones, Android estableció medidas de seguridad para evitar que aplicaciones maliciosas se instalasen fácilmente, por lo que los usuarios que descarguen esta app verán mensajes como los mostrados en las imágenes que hay encima de estas líneas que solicitan permiso para instalar la app.
Finalidad de la app maliciosa
Han sido varios los investigadores como, por ejemplo, Daniel Lopez, que dieron la voz de alarma tras empezar a recibir estos mensajes y comprobarse que se trataba de algo fraudulento. Incluso medios de comunicación tradicionales se han hecho eco de esta amenaza, lo que ha ayudado a alertar a muchos de los usuarios que podrían haber caído en la trampa.
En el caso de que alguien ignore todos los indicios que indican que está ante una amenaza, la aplicación maliciosa terminará instalándose y ejecutando un troyano bancario con capacidades de control remoto conocido como Spynote, una amenaza que lleva desde 2020 protagonizando campañas similares y que ya se ha dirigido a usuarios españoles con anterioridad.
Como dato relevante, la app maliciosa viene firmada con certificados que la intentan hacer pasar como legítima. Algunos de estos certificados son tan llamativos como el de Agencia Tributaria, tal y como han desvelado varios investigadores.
En otras muestras usadas en estas mismas campañas vemos como los delincuentes han usado otros certificados para tratar de evadir la detección como, por ejemplo, el de Foxit Software. Sin embargo, en ambos casos vemos como el emisor del certificado está situado en la ciudad Brasileña de Sao Paulo, lo que nos podría indicar la procedencia de esta campaña maliciosa, algo que tampoco nos debería sorprender si revisamos el histórico de amenazas procedentes de esa región que han afectado durante los últimos años a usuarios españoles.
Al tratarse de una aplicación maliciosa con capacidades de troyano bancario y herramienta de control remoto los delincuentes la utilizarán para robar credenciales de acceso a banca online y carteras de criptomonedas (aunque no se descarta el robo de otro tipo de credenciales e incluso de información almacenada en el teléfono). De esta forma, el siguiente paso será tratar de realizar transferencias a cuentas controladas por los delincuentes o muleros que trabajen para ellos, dejando a las víctimas sin dinero en sus cuentas bancarias.
Conclusión
Visto lo visto y sabiendo que los delincuentes no suelen tener escrúpulos a la hora de aprovechar las desgracias para lanzar sus campañas delictivas, debemos estar alerta ante este tipo de mensajes y tratar de evitar pulsar sobre enlaces no solicitados si no estamos seguros al 100%. Además, contar con una solución deseguridad en nuestro dispositivo nos ayudará a bloquear y eliminar estas amenazas antes de que sea demasiado tarde.