News

Códigos QR maliciosos portadores de malware para Android

Según Wikipedia, un código QR es un sistema para almacenar información en una matriz de puntos o un código de barras bidimensional, inicialmente diseñado para la industria automotriz. Los códigos QR son cada vez más populares hoy en día ya que se usan en banners, revistas, transporte e insignias para brindar un rápido y fácil acceso a determinada información. Un código QR tiene una considerable capacidad (en comparación a la de un código de barras) y es capaz de guardar 7.089 símbolos numéricos o 4.296 alfanuméricos, lo que es más que suficiente para guardar textos o direcciones URL.

Pero, ¿qué pasa con los códigos QR maliciosos? Sí, es posible escanear un código QR con tu smartphone, lo que te conducirá a una URL con un archivo malicioso (APK o JAR). Estos códigos existen y son cada vez más populares.
Hoy en día los usuarios de smartphones a menudo buscan nuevo software para sus aparatos mediante una PC de escritorio. Si encuentran algo interesante, deben escribir la URL de la aplicación en el navegador de su dispositivo para descargarlo. Esto puede resultar un poco incómodo, por lo que estos sitios web cuentan con códigos QR de fácil escaneo.

Se sabe que ahora una gran cantidad de programas maliciosos, especialmente troyanos SMS, se propagan a través de sitios web piratas cuyas aplicaciones son, en su totalidad, maliciosas. Y los ciberdelincuentes han comenzado a usar códigos QR maliciosos para favorecer la “comodidad” de los usuarios. A continuación mostramos un ejemplo de estos sitios web:

Parte del sitio web con un código QR malicioso
Es interesante recalcar que la URL difusa sí funciona, pero no existe un archivo ‘jimm.apk’ asociado con el enlace. Pero si un usuario escanea el código QR, será conducido a otra dirección URL que sí tiene un archivo ‘jimm.apk’. Nosotros hemos identificado este archivo como Trojan-SMS.AndroidOS.Jifake.f:

El programa malicioso es una aplicación troyana Jimm (cliente móvil ICQ) que envía varios mensajes SMS al número telefónico de pago 2476 (6 USD cada uno). Tras la instalación aparece en el menú del dispositivo un icono llamado ‘JimmRussia’ .

Trojan-SMS.AndroidOS.Jifake.f

Hay otros sitios web que también contienen códigos QR maliciosos con enlaces a varios troyanos J2ME SMS:

Otro sitio web con un código QR malicioso

Era previsible el uso de códigos QR para propagar programas maliciosos. Y mientras esta tecnología sea popular, los ciberdelincuentes no dudarán en usarla. Estos son dos ejemplos que ilustran el comienzo del uso de los códigos QR y es muy probable que en un futuro no muy lejano aparezcan otros programas maliciosos móviles propagados a través de los códigos QR.

Códigos QR maliciosos portadores de malware para Android

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada