Tras varias semanas en las que los delincuentes se han estado aprovechando del nombre de la empresa de Correos, parece que desde el pasado viernes 22 de enero por la tarde se han actualizado las plantillas utilizadas y ahora se suplanta el nombre de la empresa de transportes DHL para intentar que los usuarios se descarguen una aplicación maliciosa en su dispositivo Android.
Paquete en camino
No podemos decir que este cambio de plantilla nos haya pillado por sorpresa, puesto que las empresas de transporte y mensajería como Correos, DHL y Fedex son suplantadas frecuentemente por los delincuentes para usarlas como gancho en sus campañas. El aumento considerable de las compras online durante el último año como consecuencia de la pandemia ha hecho que se incremente el número de paquetes repartidos por estas empresas, algo que los delincuentes no han dudado en aprovechar.
Si bien durante buena parte de 2020 estas campañas se propagaban mediante el email, desde hace varias semanas se está empleando un cambio de estrategia que consiste en enviar mensajes SMS a los teléfonos de los usuarios indicando que tienen un paquete pendiente de recepción, un mensaje similar al que mostramos a continuación.
Este es solo uno de los mensajes SMS que hemos podido observar durante los pasados días, algunos de ellos compartidos por investigadores como Daniel Lopez en las redes sociales para tratar de alertar a los usuarios. Debemos tener en cuenta que los delincuentes han registrado un elevado número de dominios durante los últimos días para alojar las aplicaciones maliciosas, por lo que el enlace cambia continuamente.
Además de los dominios registrados para la realización de esta campaña (que siguen una estructura más o menos similar), también se han detectado otros dominios relacionados con la distribución de estas aplicaciones maliciosas, incluso algunos pertenecientes a webs legítimas y que están siendo abusados por los delincuentes. Gracias a los aportes del investigador MalwareHunterTeam podemos ver algunos ejemplos, aunque en las últimas horas se han observado varios más.
También se ha observado la utilización de diferentes plantillas, similares a las que hemos visto durante las últimas semanas con la campaña suplantando a Correos España, pero con el logo e imagen corporativa de DHL.
En cualquier caso, todo apunta a que estas campañas se están realizando en varios países al mismo tiempo, y España es uno de ellos. Con respecto a su procedencia, se han detectado varios dominios registrados usando palabras en ruso, e incluso si accedemos al código fuente de algunas de estas webs podemos ver como está escrito en cirílico el nombre del supuesto autor de estas webs, de nombre o seudónimo “Ivan Ivanovich”.
Todos estos indicios apuntarían a que los delincuentes tendrían procedencia rusa o de algún país limítrofe, aunque, como siempre, estas atribuciones se deben coger con pinzas, puesto que estos indicios también podrían haber sido colocados de forma intencionada para desviar la atención.
Objetivo del malware
La finalidad de estas campañas es conseguir que los usuarios que reciban estos mensajes SMS pulsen sobre el enlace proporcionado y descarguen una aplicación en su dispositivo Android. Como este sistema evita por defecto la instalación de apps de origen desconocido, los delincuentes proporcionan las instrucciones necesarias para poder instalarlas. Esto significa que las víctimas no se infectan con tan solo descargar la aplicación, sino que deben instalarla, y para ello primero deben cambiar la configuración de seguridad de su dispositivo de forma manual.
Podríamos pensar que realizar todos estos pasos limita la efectividad de estas amenazas, pero son numerosos los usuarios que afirman haber caído víctimas de estas campañas. Esto demuestra que las empresas y temáticas usadas como gancho, así como las plantillas, resultan efectivas para engañar a las posibles víctimas.
Una vez que el usuario que recibe el SMS con el enlace a la web preparada por los delincuentes descarga la aplicación, desactiva la medida de seguridad que impide instalar aplicaciones descargadas desde orígenes desconocidos y ejecuta la app, ese sistema queda infectado por un troyano bancario que solicita los siguientes permisos.
Entre los permisos que adquiere la aplicación maliciosa se encuentran aquellos que le permite interceptar los mensajes SMS. De esta forma, cuando el usuario accede a su aplicación de banca online los delincuentes superponen una imagen que simula ser la de la entidad bancaria para capturar las credenciales de acceso, intentan realizar una transferencia de dinero a una cuenta bancaria controlada por ellos e interceptan los mensajes SMS que envían los bancos con el código de verificación que permite realizar estas transferencias.
Otras funcionalidades también permiten acceder a la lista de contactos para seguir enviando estos mensajes SMS fraudulentos, aunque los delincuentes pueden utilizar los dispositivos infectados para enviar estos mensajes a otros números de teléfonos que no estuviesen en la agenda de contactos gracias a que pueden seguir enviando comandos y recibir información del dispositivo.
Tampoco debemos olvidar que este tipo de malware también puede ser usado para robar credenciales de muchas otras aplicaciones instaladas, y aunque actualmente los delincuentes se estén centrando en obtener acceso a las apps de banca online, también podrían hacer lo mismo con otro tipo de aplicaciones como las encargadas de gestionar el correo electrónico o apps de redes sociales, por poner algunos ejemplos.
Conclusión
No cabe duda de que los delincuentes están teniendo un éxito considerable con estas campañas, si nos ceñimos a los numerosos mensajes SMS que son enviados todos los días y al número de dominios registrados para ser utilizados como alojamiento de las webs fraudulentas y de las aplicaciones maliciosas.
Para evitar caer víctima de amenazas como estas es importante evitar descargar aplicaciones desde webs que no sean de confianza, evitar desactivar medidas de seguridad del propio sistema y otorgar permisos elevados a las aplicaciones y contar con una solución de seguridad que sea capaz de detectar y eliminar estas y muchas otras amenazas.