Malware para Android: nuevas trampas para los usuarios

No es un secreto que los ciberdelincuentes intenten a menudo intimidar a los usuarios con el fin de infectar sus equipos. Hemos visto muchos ejemplos de ciberdelincuentes que usan el Black Hat SEO para desviar a los usuarios a sitios web que emulan análisis antivirus. Y tampoco sorprende que los resultados de estos “análisis” muestren que el equipo del usuario está infectado con una variedad de aplicaciones peligrosas y que es esencial que descargue e instale un nuevo “programa antivirus”, de marca desconocida, que en realidad es un falso antivirus.
Pero, ¿qué pasa con los smartphones y los teléfonos móviles? Los ciberdelincuentes han comenzado a usar casi las mismas técnicas para forzar a los usuarios a descargar e instalar programas maliciosos. Pero en este caso, estamos hablando de troyanos SMS con falsos elementos antivirus. He aquí algunos detalles.
Cuando buscamos algunas aplicaciones populares, como Opera Mini, en Google desde un smartphone, varios resultados de búsqueda desvían al usuario a un sitio web que aparece así:

O así:

Ambas páginas web afirman que el dispositivo del usuario puede estar infectado y que alguien tiene acceso a su información personal, y luego le piden revisar su aparato en busca de programas maliciosos. Si el usuario aprieta el botón, la página web imitará un análisis del dispositivo y mostrará los siguientes resultados ’hard-coded’:

O:

Esta página nunca “encuentra” ningún programa malicioso en una tarjeta SIM, sino mensajes, llamadas, aplicaciones, historia de navegación, almacenamiento y archivos del sistema que tienen amenazas, programas maliciosos, y son accesibles remotamente. Con seguridad que es un fraude pero aun así puede asustar al usuario y obligarlo a pulsar el enlace ‘activar el sistema de seguridad’.
Si el usuario activa el enlace se le pedirá que descargue e instale el archivo ‘VirusScanner.apk’ que es malicioso y que nuestro motor antivirus ha detectado como Trojan-SMS.AndroidOS.Scavir. Y si se trata de un dispositivo que no funcione con Android, se le pedirá que descargue ‘VirusScanner.jar’: un archivo que nuestro antivirus ha detectado como Trojan-SMS.J2ME.Agent.ij.
Después de instalarse, una aplicación llamada ‘Установщик’ (‘Instalador’) con el icono de Kaspersky aparece en el menú:

Ya mencioné antes algunos “falsos elementos antivirus”. La siguiente imagen explica en qué consisten estos elementos. Esto es lo que el usuario verá al activar el programa malicioso Scavir:

Se le pide al usuario que pulse el botón ‘Continuar’ si desea ejecutar VirusScanner con algunas opciones como “Activar la protección multiniveles”, “Desactivar el control remoto de un dispositivo” o “Activar el análisis en el sitio web”. Pero en realidad después de pulsar ‘Continuar’, esta aplicación envía mensajes SMS a números telefónicos de pago.
No es la primera vez que vemos cómo técnicas comunes de programas maliciosos se adoptan en el mundo de los programas maliciosos para dispositivos móviles. Y con seguridad veremos muchos más casos de esta adopción en 2012.