Acabamos de detectar troyanos SMS que aparecen en cada vez más países. Un ejemplo notable es Trojan-SMS.AndroidOS.Stealer.a, que encabezó la reciente clasificación TOP 20 de programas maliciosos para dispositivos móviles de Kaspersky Lab. Este programa malicioso puede enviar mensajes cortos a números comerciales en 14 países alrededor del mundo.
Pero eso no es todo. Otro troyano, Trojan, Trojan-SMS.AndroidOS.FakeInst.ef, ataca a usuarios en 66 países, incluyendo EE.UU. Este es el primer caso que encontramos que involucra a un troyano SMS activo en Norteamérica.
Kaspersky Lab detectó FakeInst en febrero de 2013, y desde ese entonces han aparecido 14 versiones distintas de este troyano. Las primeras versiones sólo eran capaces de enviar mensajes a números comerciales en Rusia. Pero a mediados de 2013 aparecieron otros países en la “lista de soporte”:
EE.UU. | Kazajistán | Letonia | República Checa |
Alemania | Ucrania | España | Georgia |
Lituania | Bielorrusia | Polonia | Francia |
Australia | Moldavia | Estonia | Grecia |
Tayiquistán | Reino Unido | Kirguistán | Bélgica |
Finlandia | Malasia | Israel | México |
Hong Kong | Suecia | Dinamarca | Serbia |
Azerbaiyán | Armenia | Chile | Bosnia |
Nigeria | Hungría | Canadá | Holanda |
Macedonia | Suiza | Portugal | Eslovaquia |
Noruega | Sudáfrica | Egipto | Brasil |
Montenegro | Camboya | Irlanda | Vietnam |
Luxemburgo | Argentina | Perú | Eslovenia |
Marruecos | Indonesia | Colombia | Italia |
Ecuador | Bolivia | China | Nueva Zelandia |
Albania | Venezuela |
Según nuestras estadísticas, la mayoría de las infecciones causadas por Trojan-SMS.AndroidOS.FakeInst.ef ocurrieron en Rusia y Canadá.
Distribución geográfica de las infecciones causadas por Trojan-SMS.AndroidOS.FakeInst.ef
FakeInst se camufla como una aplicación para mirar videos pornográficos.
La aplicación le pide al usuario que acepte enviar un mensaje de texto para comprar contenidos. Sin embargo, después de enviar el mensaje, el troyano abre un sitio de libre acceso.
Para enviar el mensaje, el troyano descifra un archivo de configuración que contiene todos los números y prefijos telefónicos:
De esta lista, FakeInst selecciona los números y prefijos apropiados para el código de país para el móvil del usuario (MCC).
Por ejemplo, para un MCC en un rango entre 311 y 316 (que corresponde a EE.UU.), el troyano enviaría tres mensajes al número 97605, cada uno con un coste de 2 $.
El troyano también se comunica con su servidor de control y comando para recibir más instrucciones. De todos los comandos que recibe y procesa, queremos resaltar la habilidad para enviar un mensaje con un contenido específico a un número que aparece listado en el comando del C&C, y la habilidad para interceptar mensajes entrantes. El troyano puede hacer varias cosas con los mensajes entrantes: robarlos, eliminarlos o incluso responderles.
Procesamiento de los comandos del C&C para interceptar mensajes SMS.
Creemos que FakeInst es obra de ciberdelincuentes rusos. Primero, porque sus primeras versiones estaban diseñadas para funcionar sólo en Rusia. Segundo, porque todos sus servidores C&C están registrados y alojados con proveedores rusos. Virtualmente todas las versiones del troyano usan estos dos servidores C&C:
x-bt.in
y-bt.in
Estas URLs estaban registradas a nombre de Klimon Dmitriy Ivanovich, que indica Moscú como su lugar de residencia y proporciona un
número de teléfono en Rusia.
Estos dominios usan los servidores DNS de la compañía FASTVPS.RU.
Los siguientes sitios se encuentran en la misma IP que estos servidores C&C:
botmgr.net
anid.in
icemob.net
ftop.org
midex.org
wapon.org
A juzgar por sus respuestas y estructuras, estos sitios también se usan para controlar bots. También están registrados con los datos personales mencionados arriba.
Troyano SMS con ambiciones mundiales