malware-android

 

¡Mucha atención! Si eres usuario de Android, ¡esta información te interesa! Nuestros compañeros de PandaLabs han detectado un nuevo ataque masivo a usuarios de este sistema operativo.

En este caso, se trata de una campaña con origen en Facebook, donde los ciberdelincuentes publican anuncios en los que se promocionan diferentes aplicaciones. Desde Panda Security ya nos hemos puesto en contacto con Facebook para advertirles de esta campaña de publicidad maliciosa.

 

Aplicaciones que son troyanos

La mecánica de este nuevo ataque a usuarios Android es:

– Cuando entramos en Facebook, nos encontramos en el muro una “Publicación sugerida”, donde se anuncian utilidades para WhatsApp del tipo: “¿Quieres saber cómo ver las conversaciones de tus amigos en WhatsApp? ¡Descúbrelo aquí! o “¿Quieres ocultar la conexión de WhatsApp? Descárgate ya la App para que la gente no te vea”.

– Al pinchar en alguno de estos anuncios, nos redirigen a una falsa versión de Google Play.  Así, el usuario cree que se encuentra en el sitio original y se descarga la aplicación de forma gratuita, aunque,  en realidad, se trata de un troyano que le suscribirá a un servicio de SMS Premium sin su conocimiento.

facebook-apps-maliciosas

 

Hay que destacar que el troyano monitoriza todos los mensajes de texto recibidos y, si el remitente es el número del servicio de SMS Premium, lo interceptará y eliminará para que no quede rastro del mismo.

Sin embargo, esta técnica no funciona con la versión 4.4 KitKat, así que los delincuentes han desarrollado una ingeniosa táctica para salvar este obstáculo: al recibir el mensaje, el volumen del teléfono se silencia durante dos segundos y, a continuación, se marca como leído en la bandeja de entrada. La aplicación incluye un contador de SMS, así, cuando llega el primer mensaje del servicio SMS Premium, puede leerlo para obtener el PIN necesario y lo registra en la página web para activar el servicio de mensajes de pago.

 

Un troyano sin competencia

El troyano elimina, además, cualquier mensaje cuyo remitente sea el número 22365, otro número asociado a servicios de SMS Premium de una empresa aparentemente ajena a este ataque. Todo parece apuntar a que se trata de una medida para protegerse ante un determinado competidor: si un troyano tratara de registrarse se impedirá su acceso al mensaje. De este modo, no podrá acceder al PIN y activar el servicio.

Los ciberdelincuentes no sólo utilizan WhatsApp como reclamo, sino que utilizan la misma mecánica con cualquier temática que pueda resultar popular: “Vídeos impactantes”, “Trucos Candy Crush”, “Trucos Angry Birds”, etc.

¡Ten cuidado!