News

Troyanos SMS: por todo el mundo

A mediados de julio escribí sobre La vuelta al mundo de los SMS pornográficos que disimula la suscripción de los usuarios a una serie de servicios de pago con la promesa de entregarles imágenes lascivas. Estas aplicaciones estaban dirigidas a usuarios en Estados Unidos, Malasia, Holanda, reino Unido, Kenia y Sudáfrica. Al final de la entrada, afirmaba que “… la aparición de varias aplicaciones que envían mensajes SMS Premium y atacan a los usuarios de países de diferentes regiones nos lleva a la conclusión de que, por desgracia, ya no es sólo un problema de Rusia y China”.

Ahora el problema se ha trasladado a los troyanos para SMS que atacan a usuarios de Canadá y de varios países europeos. Sí, estos troyanos SMS no atacan a los usuarios de smartphones en Rusia ni en China.
Según los mensajes publicados en los foros en Internet, las primeras infecciones se produjeron a principios de septiembre. Alguien había descargado una aplicación para gestionar y monitorear sus mensajes SMS/MMS, sus llamadas y su tráfico. Después de ejecutar esta aplicación, aparecía un mensaje indicando que no era compatible con la versión Android en uso. Y entonces se vaciaba la cuenta del móvil del usuario.

Nos pusimos a rastrear esta aplicación y, como era de esperar, resultó ser un troyano SMS que enviaba 4 mensajes SMS a números de pago. Lo identificamos como Trojan-SMS.AndroidOS.Foncy.
Se propagaba a través de un sitio de alojamiento de archivos llamado SuiConFo.apk’. Después de instalarse, aparecía en el menú de los smartphones Android:

Hay dos tipos principales de este troyano malicioso: ‘MagicSMSActivity.class’ y ‘SMSReceiver.class’. El primero envía mensajes SMS, y el segundo esconde los mensajes entrantes desde determinados números. Como mencionamos líneas arriba, después de ejecutarse esta aplicación, aparece este mensaje de error: ‘La versión de Android no es compatible’.

Justo después de mostrar el mensaje, el troyano procede a llamar al método público getSimCountryIso en la clase TelephonyManager para recuperar el código de país ISO de la tarjeta SIM.

Después, el malware define las variables ‘s1’ (número SMS) y ‘s2’ (texto SMS):

La lista de países incluye 8 opciones: Francia (número SMS 81001), Bélgica (número SMS 9903), Suiza (número SMS 543), Luxemburgo (número SMS 64747), Canadá (número SMS 60999), Alemania (número SMS 63000), España (número SMS 35064), y Reino Unido (número SMS 60999).
Al parecer, los autores del virus cometieron un error en el código. El troyano envía un mensaje SMS mediante la clase SmsManager con el método sendTextMessage:
smsmanager.sendTextMessage(s1, null, s2, pendingintent, pendingintent1)
Donde ‘s1’ es un número y ‘s2’ es un texto. Estas variables están definidas correctamente para todos los países, salvo Canadá.

if(s.equals(“ca”))
{
s1 = “SP”;
s2 = “60999”;

Después de definir el país y, por lo tanto, el número y texto del mensaje, el troyano procede a enviar 4 mensajes SMS mediante el método sendTextMessage, tal como mencionamos líneas arriba.
El SMSReceiver.class esconde los mensajes SMS entrantes desde números particulares. Si aparece un mensaje SMS entrante desde uno de estos números: 81001, 35064, 63000, 9903, 60999, 543, ó 64747, entonces el troyano intentará ocultarlo mediante el método abortBroadcast. El número en cuestión se recupera desde el mensaje SMS mediante getDisplayOriginatingAddress.
Hay otro elemento interesante dentro de este malware: si observamos esta porción del código:

notamos que después de ocultar el mensaje entrante (abortBroadcast) ), este troyano envía otro mensaje SMS a un número de teléfono en Francia con el texto guardado en la variable ‘s’. Y esta variable ‘s’ se define con el método getMessageBody cuando llega un mensaje SMS entrante.
Es decir, el troyano envía un mensaje SMS a un número de teléfono en Francia con el texto tomado de la respuesta proveniente de un número de pago. Esto ayuda a los ciberdelincuentes a llevar la cuenta de los mensajes SMS de pago enviados.
Por desgracia, los troyanos SMS actuales son una de las formas más fáciles de enriquecerse que los ciberdelincuentes tienen a su disposición. El uso malicioso de los servicios SMS de pago se está expandiendo por todo el mundo, y estamos seguros de que será por un largo tiempo. Seguiremos informando.

Troyanos SMS: por todo el mundo

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada