Descubiertas varias campañas pensadas para propagar apps maliciosas en dispositivos Android

Los ciberdelincuentes intentan engañar a los usuarios para que descarguen una app maliciosa y la instalen en su teléfono Android

Plantillas para todos los gustos

Una de las ventajas que tiene para un ciberdelincuente el uso de plantillas y kits ya pregenerados es el considerable ahorro de tiempo que eso supone. Con ese trabajo ya hecho y habiendo elegido aquellas plantillas de correos, mensajes o páginas web que mas se adaptan a los usuarios que el delincuente tiene como objetivo, su trabajo se reduce en lanzar la campaña que sirva como gancho para la descarga de una app maliciosa también incluida en el kit y centrarse en la recepción y procesamiento del dinero robado.

No obstante, si los delincuentes que preparan estas campañas no tienen conocimientos técnicos básicos, no es extraño encontrarnos con directorios accesibles públicamente donde se pueden revisar todas las campañas y muestras de malware que se están utilizando de forma activa. Como ejemplo tenemos este directorio descubierto recientemente por el investigador MalwareHunterTeam.

Ya solo por los nombres de los directorios expuestos podemos deducir que el delincuente tiene como objetivos a usuarios de habla hispana, faltando por determinar si se va a centrar en algún país en concreto. Para ello, podemos echar un vistazo a algunas de las plantillas usadas para la elaboración de páginas webs fraudulentas y comprobar si en alguna de ellas hay algún indicativo que revele a los usuarios de a que país van dirigidas.

En la captura anterior podemos ver dos plantillas, una que utiliza el nombre de una conocida empresa de reparto de comida a domicilio (y que incluye una bandera española) y otra mas genérica que menciona a una app de visualización de contenido pornográfico. Ambas plantillas invitan al usuario a descargar una aplicación, supuestamente desde un repositorio legítimo aunque en realidad redirige al servidor controlado por los delincuentes.

Con respecto al registro del dominio utilizado para alojar las aplicaciones maliciosas y las plantillas de las webs fraudulentas, vemos que ha sido registrado hace pocos días, lo que podría indicar que hay campañas activas usando este malware y las plantillas vistas, aunque hay otra que, siendo las fechas que son, puede que sea la más utilizada por los delincuentes.

Campaña de la renta

A pocas semanas de que termine la campaña de la renta 2021 hemos podido comprobar, un año más, como este gancho es utilizado por varios tipos de delincuentes con un considerable éxito. En este caso vemos como la plantilla usada para suplantar la web de la Agencia Tributaria española está bastante conseguida y podría llegar a engañar incluso a usuarios que se fijen en los detalles.

Pero llegados a este punto, ¿cómo consiguen los delincuentes que los usuarios accedan a las webs fraudulentas y descarguen las apps maliciosas? Revisando campañas anteriores vemos que el SMS es el vector de ataque preferido en estas campañas y, gracias al investigador Daniel Lopez, podemos comprobar cómo, precisamente durante estos últimos días, se han venido produciendo envíos de mensajes de texto con asuntos relacionados con la Agencia tributaria.

Una vez hemos revisado cómo intentan engañar a los usuarios para que descarguen una app maliciosa y la instalen en su teléfono Android pasamos a revisar qué acciones realiza en el dispositivo infectado. Si observamos los permisos que solicita esta aplicación, nos podremos dar cuenta de que sigue un patrón ya visto con anterioridad en el caso de troyanos bancarios como FluBot.

Entre los permisos solicitados más destacables encontramos el de accesibilidad, el cual permite prácticamente tener el control del dispositivo y es usado por los atacantes para, por ejemplo, saber que aplicación se abre y superponer una pantalla para robar las credenciales. Este robo de credenciales se suele utilizar sobre apps de banca online, pero también en apps de correo, criptomonedas o redes sociales, por poner solo unos ejemplos.

Además, vemos como la app maliciosa también obtiene permisos para leer y enviar SMS. El permiso de lectura permite interceptar los mensajes de verificación que los bancos y otros servicios online utilizan como doble factor de autenticación. Por otro lado, el permiso de envío de SMS, unido al de acceso a los contactos de nuestra agenda, permite a este tipo de amenazas seguir propagándose.

Conclusión

Aunque los delincuentes detrás de estas campañas no tengan conocimientos técnicos avanzados, sus amenazas pueden seguir provocando graves problemas a usuarios que caigan en sus trampas. El uso de kits de creación y propagación de malware ha rebajado la barrera de entrada en lo que respecta a conocimientos técnicos y ha provocado un considerable aumento del numero de ciberdelincuentes y, por ende, de ciberamenazas dirigidas a smartphones, por lo que debemos estar alerta y protegernos con soluciones de seguridad efectivas contra estas y otros tipos de amenazas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio