Troyanos SMS: por todo el mundo

A mediados de julio escribí sobre La vuelta al mundo de los SMS pornográficos que disimula la suscripción de los usuarios a una serie de servicios de pago con la promesa de entregarles imágenes lascivas. Estas aplicaciones estaban dirigidas a usuarios en Estados Unidos, Malasia, Holanda, reino Unido, Kenia y Sudáfrica. Al final de la entrada, afirmaba que “… la aparición de varias aplicaciones que envían mensajes SMS Premium y atacan a los usuarios de países de diferentes regiones nos lleva a la conclusión de que, por desgracia, ya no es sólo un problema de Rusia y China”.

Ahora el problema se ha trasladado a los troyanos para SMS que atacan a usuarios de Canadá y de varios países europeos. Sí, estos troyanos SMS no atacan a los usuarios de smartphones en Rusia ni en China.
Según los mensajes publicados en los foros en Internet, las primeras infecciones se produjeron a principios de septiembre. Alguien había descargado una aplicación para gestionar y monitorear sus mensajes SMS/MMS, sus llamadas y su tráfico. Después de ejecutar esta aplicación, aparecía un mensaje indicando que no era compatible con la versión Android en uso. Y entonces se vaciaba la cuenta del móvil del usuario.

Nos pusimos a rastrear esta aplicación y, como era de esperar, resultó ser un troyano SMS que enviaba 4 mensajes SMS a números de pago. Lo identificamos como Trojan-SMS.AndroidOS.Foncy.
Se propagaba a través de un sitio de alojamiento de archivos llamado SuiConFo.apk’. Después de instalarse, aparecía en el menú de los smartphones Android:

Hay dos tipos principales de este troyano malicioso: ‘MagicSMSActivity.class’ y ‘SMSReceiver.class’. El primero envía mensajes SMS, y el segundo esconde los mensajes entrantes desde determinados números. Como mencionamos líneas arriba, después de ejecutarse esta aplicación, aparece este mensaje de error: ‘La versión de Android no es compatible’.

Justo después de mostrar el mensaje, el troyano procede a llamar al método público getSimCountryIso en la clase TelephonyManager para recuperar el código de país ISO de la tarjeta SIM.

Después, el malware define las variables ‘s1’ (número SMS) y ‘s2’ (texto SMS):

La lista de países incluye 8 opciones: Francia (número SMS 81001), Bélgica (número SMS 9903), Suiza (número SMS 543), Luxemburgo (número SMS 64747), Canadá (número SMS 60999), Alemania (número SMS 63000), España (número SMS 35064), y Reino Unido (número SMS 60999).
Al parecer, los autores del virus cometieron un error en el código. El troyano envía un mensaje SMS mediante la clase SmsManager con el método sendTextMessage:
smsmanager.sendTextMessage(s1, null, s2, pendingintent, pendingintent1)
Donde ‘s1’ es un número y ‘s2’ es un texto. Estas variables están definidas correctamente para todos los países, salvo Canadá.

if(s.equals(“ca”))
{
s1 = “SP”;
s2 = “60999”;

Después de definir el país y, por lo tanto, el número y texto del mensaje, el troyano procede a enviar 4 mensajes SMS mediante el método sendTextMessage, tal como mencionamos líneas arriba.
El SMSReceiver.class esconde los mensajes SMS entrantes desde números particulares. Si aparece un mensaje SMS entrante desde uno de estos números: 81001, 35064, 63000, 9903, 60999, 543, ó 64747, entonces el troyano intentará ocultarlo mediante el método abortBroadcast. El número en cuestión se recupera desde el mensaje SMS mediante getDisplayOriginatingAddress.
Hay otro elemento interesante dentro de este malware: si observamos esta porción del código:

notamos que después de ocultar el mensaje entrante (abortBroadcast) ), este troyano envía otro mensaje SMS a un número de teléfono en Francia con el texto guardado en la variable ‘s’. Y esta variable ‘s’ se define con el método getMessageBody cuando llega un mensaje SMS entrante.
Es decir, el troyano envía un mensaje SMS a un número de teléfono en Francia con el texto tomado de la respuesta proveniente de un número de pago. Esto ayuda a los ciberdelincuentes a llevar la cuenta de los mensajes SMS de pago enviados.
Por desgracia, los troyanos SMS actuales son una de las formas más fáciles de enriquecerse que los ciberdelincuentes tienen a su disposición. El uso malicioso de los servicios SMS de pago se está expandiendo por todo el mundo, y estamos seguros de que será por un largo tiempo. Seguiremos informando.