News

Malware para Android: nuevas trampas para los usuarios

No es un secreto que los ciberdelincuentes intenten a menudo intimidar a los usuarios con el fin de infectar sus equipos. Hemos visto muchos ejemplos de ciberdelincuentes que usan el Black Hat SEO para desviar a los usuarios a sitios web que emulan análisis antivirus. Y tampoco sorprende que los resultados de estos “análisis” muestren que el equipo del usuario está infectado con una variedad de aplicaciones peligrosas y que es esencial que descargue e instale un nuevo “programa antivirus”, de marca desconocida, que en realidad es un falso antivirus.
Pero, ¿qué pasa con los smartphones y los teléfonos móviles? Los ciberdelincuentes han comenzado a usar casi las mismas técnicas para forzar a los usuarios a descargar e instalar programas maliciosos. Pero en este caso, estamos hablando de troyanos SMS con falsos elementos antivirus. He aquí algunos detalles.
Cuando buscamos algunas aplicaciones populares, como Opera Mini, en Google desde un smartphone, varios resultados de búsqueda desvían al usuario a un sitio web que aparece así:

O así:

Ambas páginas web afirman que el dispositivo del usuario puede estar infectado y que alguien tiene acceso a su información personal, y luego le piden revisar su aparato en busca de programas maliciosos. Si el usuario aprieta el botón, la página web imitará un análisis del dispositivo y mostrará los siguientes resultados ’hard-coded’:

O:

Esta página nunca “encuentra” ningún programa malicioso en una tarjeta SIM, sino mensajes, llamadas, aplicaciones, historia de navegación, almacenamiento y archivos del sistema que tienen amenazas, programas maliciosos, y son accesibles remotamente. Con seguridad que es un fraude pero aun así puede asustar al usuario y obligarlo a pulsar el enlace ‘activar el sistema de seguridad’.
Si el usuario activa el enlace se le pedirá que descargue e instale el archivo ‘VirusScanner.apk’ que es malicioso y que nuestro motor antivirus ha detectado como Trojan-SMS.AndroidOS.Scavir. Y si se trata de un dispositivo que no funcione con Android, se le pedirá que descargue ‘VirusScanner.jar’: un archivo que nuestro antivirus ha detectado como Trojan-SMS.J2ME.Agent.ij.
Después de instalarse, una aplicación llamada ‘Установщик’ (‘Instalador’) con el icono de Kaspersky aparece en el menú:

Ya mencioné antes algunos “falsos elementos antivirus”. La siguiente imagen explica en qué consisten estos elementos. Esto es lo que el usuario verá al activar el programa malicioso Scavir:

Se le pide al usuario que pulse el botón ‘Continuar’ si desea ejecutar VirusScanner con algunas opciones como “Activar la protección multiniveles”, “Desactivar el control remoto de un dispositivo” o “Activar el análisis en el sitio web”. Pero en realidad después de pulsar ‘Continuar’, esta aplicación envía mensajes SMS a números telefónicos de pago.
No es la primera vez que vemos cómo técnicas comunes de programas maliciosos se adoptan en el mundo de los programas maliciosos para dispositivos móviles. Y con seguridad veremos muchos más casos de esta adopción en 2012.

Malware para Android: nuevas trampas para los usuarios

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada