Web fraudulenta con supuestas ayudas económicas del gobierno español descarga troyano bancario para Android

Los troyanos bancarios han experimentado un importante crecimiento durante los últimos meses, tanto en su vertiente destinada a sistemas de escritorio como Windows como los que están orientados para dispositivos Android. Buena prueba de ello lo tenemos en las constantes campañas protagonizadas por troyanos bancarios con origen en América Latina y por las variantes de malware para smartphones como Cerberus, que han aprovechado la situación de crisis sanitaria y económica provocada por la pandemia de la COVID-19.

Web de ayudas que descarga malware

Si algo han aprovechado hasta la saciedad los delincuentes detrás de estas campañas ha sido la suplantación de organismos oficiales y ministerios de todo tipo para hacer más creíbles los ganchos utilizados y conseguir así un mayor número de víctimas. Dada la situación actual, muchos de los usuarios que acceden a las webs preparadas por los delincuentes no dudan en proporcionar datos y descargar cualquier aplicación desde aquellas webs que tengan una apariencia mínimamente creíble de ser algo oficial.

Sirva como ejemplo la siguiente web que se ha estado propagando durante el día de hoy mediante enlaces en grupos de WhatsApp y que, supuestamente, redirige a un enlace en el que podemos observar el nombre de varios ministerios. En esa web podemos ver cómo se mencionan ciertas ayudas que se detallan en un falso archivo PDF que comienza a descargarse nada más acceder a la web.

Antes de proceder a revisar qué contiene en realidad este archivo, vamos a echarle un vistazo al dominio utilizado por los delincuentes para alojar esta web. En este caso han optado por unir dos palabras como son “Gobierno” y “Economía” para generar el dominio, dominio que fue registrado menos de 24 horas antes de empezar a observar su propagación mediante enlaces enviados por WhatsApp.

Este dominio cuenta con un certificado válido proporcionado por la empresa Let’s Encrypt, lo que le otorga el preciado candado que muchos usuarios siguen interpretando como señal de que dicha web es segura, cuando en realidad lo único que indica es que la conexión entre nuestro dispositivo y la web se realiza de forma segura, no que la web lo sea.

En lo que respecta al malware en sí, podemos observar que se intenta descargar en el dispositivo nada más acceder a la web que lo aloja. El nombre del fichero puede indicar algún tipo de formulario que la víctima debe rellenar para recibir un pago, pero solo fijándonos en la extensión podemos comprobar que estamos ante un instalador de aplicaciones de Android en lugar de un archivo PDF.

En el caso de que la víctima muerda el anzuelo y descargue y ejecute esta aplicación, estará instalando un troyano en su dispositivo con varias capacidades que los delincuentes pueden aprovechar. Especialmente interesante para muchos delincuentes en la actualidad es la opción de interceptar mensajes SMS, ya que esto les permite saltarse las medidas de doble factor de autenticación implementadas por muchas entidades bancarias a la hora de realizar transferencias.

Además, este troyano tiene la capacidad de realizar llamadas, leer nuestra lista de contactos, grabar audio y escribir sobre la unidad de almacenamiento, lo que añade opciones a los delincuentes que quieran obtener beneficios más allá de las credenciales de acceso a la banca online.

Otras variantes similares

La campaña que acabamos de analizar destaca por la web preparada por los delincuentes, la cual se aprovecha de la necesidad de obtener ayudas económicas por parte de muchos particulares y negocios. Sin embargo, la muestra descargada es muy similar, por no decir idéntica, a otras observadas recientemente y que utilizan una plantilla más conocida, como es la de la supuesta descarga de Adobe Flash Player y que investigadores como MalwareHunterTeam se encargan de detectar.

Esta plantilla ha sido utilizada por los delincuentes durante años, y aun hoy, cuando Flash Player está a punto de ser abandonado por Adobe, sigue cosechando cierto éxito. Ese es el motivo por el cual los delincuentes siguen utilizándola. Tal y como podemos ver a continuación, la descarga del archivo APK simula la de un supuesto instalador de Adobe Flash Player.

En lo que respecta a estas otras campañas, los dominios utilizados también intentan engañar a los usuarios con nombres como “descargarflplayer202ver[.]site”. La diferencia la encontramos en el lugar donde se produce el registro, ya que en las campañas analizadas durante los últimos días tenían las webs fraudulentas alojadas en dominios rusos.

Ambas variantes pertenecen a las familias de malware Cerberus / Alien, y en el caso de la que utiliza el gancho de las ayudas económicas, esta utiliza servidores de mando y control ubicados en canales de Telegram. Además, las soluciones de seguridad de ESET detectan los instaladores maliciosos como una variante del troyano Android/TrojanDropper.Agent, indicando que es utilizado para descargar nuevas amenazas una vez ya ha infectado el sistema.

Conclusión

Tal y como acabamos de comprobar, el vector de propagación de estas amenazas es simple pero efectivo. De hecho, se trata de pequeñas adaptaciones de tácticas conocidas desde hace años pero que pueden seguir siendo igualmente efectivas si se da con el gancho adecuado que permita engañar a los usuarios para que descarguen sus amenazas. Por ese motivo es importante contar con una solución de seguridad en nuestros dispositivos móviles que permita detectar y bloquear este tipo de amenazas, evitándonos bastante quebraderos de cabeza.

Josep Albors

El “Envío de burofax Online” continúa siendo una de las plantillas preferidas del troyano bancario Mekotio