Troyano usa contenido pornográfico como gancho para propagarse mediante SMS

No hay duda de que los delincuentes han encontrado en los mensajes SMS un medio perfecto para propagar sus amenazas. Si los correos electrónicos siguen siendo uno de los principales vectores de ataque en sistemas de escritorio, los SMS están siendo aprovechados por los atacantes de forma masiva en sucesivas campañas desde hace meses para tratar de conseguir nuevas víctimas entre usuarios de Android.

Misterioso mensaje nocturno

Desde hace semanas hemos estado viendo como los delincuentes utilizan el nombre de empresas de transporte como Correos y DHL en mensajes SMS para tratar de conseguir que los usuarios descarguen aplicaciones maliciosas en sus dispositivos Android (troyanos bancarios principalmente).

Sin embargo, el que suscribe estas líneas recibió un sospechoso mensaje el pasado viernes a altas horas de la noche en el que no se indicaba un remitente ni información adicional y solo se proporcionaba un enlace acortado.

Dispuesto a llegar hasta el fondo de la cuestión, preparé un entorno controlado para ver qué se escondía detrás de ese misterioso enlace y, tras hacer unos ajustes y contar con la inestimable ayuda de otros compañeros como Germán Fernández y Daniel López, encontramos qué se escondía detrás de ese mensaje.

Estaríamos ante una web que ofrece contenido pornográfico pero que solicita la instalación de una supuesta aplicación MediaPlayer para poder visualizarlo. De forma automática se ofrece la descarga de una APK en nuestro dispositivo móvil, aplicación que esconde el contenido malicioso.

Aplicaciones de banca como objetivo

A pesar de usar un gancho diferente a los observados durante las últimas semanas, el objetivo final de los delincuentes sigue siendo el mismo. Este no es otro que obtener acceso a las aplicaciones de banca online instaladas en los dispositivos que infectan para, seguidamente, realizar transferencias de dinero a cuentas controladas por ellos, y para eso no dudan en obtener los permisos necesarios para interceptar los mensajes SMS que se utilizan como doble factor de autenticación a la hora de realizar estas operaciones.

Entre las aplicaciones bancarias a las que se dirige esta amenaza encontramos bastantes de las que están presentes en España, con entidades de todos los tamaños y sin que falten algunas de las más importantes a nivel nacional como internacional. Esto demostraría que el objetivo serían principalmente usuarios de Android españoles que tuvieran alguna de las aplicaciones de banca online a las que apuntan los delincuentes.

En el caso de esta amenaza en concreto, las soluciones de seguridad de ESET detectan la aplicación fraudulenta como el troyano Android/TrojanDropper.Agent.HEV, que terminaría descargando una variante del conocido malware bancario Cerberus.

Conclusión

A pesar de que este caso se sale un poco de lo normal con respecto a las amenazas que venimos analizando recientemente, relacionadas con troyanos bancarios para Android en lo que respecta a la temática utilizada, esto podría ser simplemente una nueva prueba de los delincuentes para ver qué tipo de gancho les resulta más efectivo a la hora de conseguir nuevas víctimas. Por ese motivo, hemos de desconfiar de este tipo de mensajes no solicitados, no instalar aplicaciones desde fuentes no oficiales y contar con una solución de seguridad en nuestro dispositivo Android que sea capaz de detectar y eliminar dichas amenazas.

Josep Albors

El troyano bancario Casbaneiro regresa con un nuevo email con factura