18 de septiembre de 2015

El uso de programas nocivos capaces de enviar los mensajes SMS a los números Premium caros sin que los usuarios de smartphones en Android lo noten, desde hace mucho ya es uno de los modos principales de obtener beneficio para muchos ciberdelincuentes. Pero, a medida que la banca móvil se hace más popular, los creadores de virus empiezan a usar en sus ataques los troyanos más «sofisticados» con más frecuencia. Entre ellos, las aplicaciones nocivas multifuncionales de familia Android.SmsBot, muchas de las cuales son capaces de robar el dinero de las cuentas bancarias. El presente material está dedicado a uno de estos troyanos detectados por los especialistas de la empresa Doctor Web.

Igual que muchos programas nocivos similares, el nuevo troyano llamado Android.SmsBot.459.origin se difundía por los malintencionados usando spam SMS. En particular, a una víctima potencial de los creadores de virus le llega un mensaje de estafa supuestamente en nombre de un cliente interesado que contestó al anuncio que la víctima publicó anteriormente sobre la venta de algo, así mismo, en este mensaje se ofrece visitar algún sitio web para obtener la información más detallada. Cabe destacar que en algunos casos para mayor convicción los ciberdelincuentes le tratan al usuario por su nombre, lo que significa un ataque objetivo bien planificado donde se aplica una base de anuncios real creada a propósito. El objetivo de los malintencionados en este caso es fácil: si hace poco el titular del dispositivo móvil de verdad intentaba vender algo a través de Internet, es muy probable que el mismo crea en la «suerte» y sin mayor sospecho siga el enlace indicado en el mensaje. En este caso, a su dispositivo móvil se descargará automáticamente el archivo apk del troyano, pero, para que Android.SmsBot.459.origin empiece a funcionar, el usuario mismo debe instalarlo. Si el usuario intenta abrir el enlace proporcionado no en un Smartphone o tableta en Android, sino en un dispositivo bajo la administración de otra plataforma móvil o en su propio equipo, en vez del sitio web desde el cual se descarga el troyano Android, el mismo será redirigido a otro recurso inofensivo.

Android.SmsBot.459.origin se instala en el sistema como si fuera una aplicación cliente de un servicio popular en Rusia para publicar anuncios y tiene un icono correspondiente «prestado» por los malintencionados de un programa real. De esta forma, los ciberdelincuentes intentan convencer a la víctima potencial de que se trata del servicio de anuncios de verdad inofensivo. Una vez iniciado, el troyano enseguida intenta obtener acceso a las funciones del administrador del dispositivo móvl, para complicar en adelante los intentos de ser eliminado. Cabe destacar que el programa nocivo prácticamente obliga al usuario a otorgarle los derechos necesarios, porque el mismo impide el trabajo normal con un Smartphone o una tableta en Android, bloqueando su pantalla con una solicitud visualizada constantemente.

Android.SmsBot.459.origin Android.SmsBot.459.origin transmite al servidor administrativo la información sobre el dispositivo infectado, incluido su identificador IMEI, la información sobre el operador así como sobre la versión usada del sistema operativo. Luego el troyano enseguida recibe un comando para comprobar si existe el servicio de banca en línea de varias entidades de crédito conectado al número de teléfono de la víctima y solicita el balance actual de la cuenta del abonado, así como el balance de la cuenta de un sistema de pago popular en Rusia. Para realizarlo, la aplicación nociva envía los SMS creados a propósito para cada uno de estos servicios, así mismo, oculta todos los mensajes de respuesta de Android.SmsBot.459.origin de usuario y los redirige al abonado remoto. Cabe destacar que en el SO Android de versión 4.4 y superior, gracias a las medidas de seguridad avanzada establecidas, el troyano no podrá ocultar los mensajes SMS del usuario, por lo tanto, el mismo desactiva temporalmente todas las notificaciones sonoras del sistema, así mismo, la llamada de vibración, y elimina la correspondencia entrante.

Android.SmsBot.459.origin puede recibir los siguientes comandos de los malintencionados:

• esms&&& - enviar al servidor un listado de todos los mensajes SMS;
• getapps&&& - enviar al servidor un listado de aplicaciones instaladas;
• sent&&& - enviar un mensaje SMS con texto establecido al número indicado;
• rent&&& - activar la intercepción de mensajes SMS;
• sms_stop&&& - detener la intercepción de mensajes SMS;
• ussd&&& - ejecutar la solicitud USSD;
• export&&& - enviar al servidor un listado de contactos;
• u&&& - establecer la dirección del nuevo servidor administrativo;
• sapp&&& - enviar un mensaje al número indicado en la aplicación Viber.

De esta forma, si hay dinero en alguna cuenta existente del usuario, los ciberdelincuentes pueden robarlo de forma oculta por medio de una indicación correspondiente para la aplicación nociva. Así mismo, la víctima de este ataque no se percatará del robo enseguida, porque el troyano bloquea todos los SMS con códigos de confirmaciones, así como las notificaciones de las transacciones monetarias.

Los expertos de la empresa Doctor Web siempre recomiendan a los titulares de dispositivos móviles bajo la administración del SO Android no seguir los enlaces de mensajes SMS sospechosos y no instalar las aplicaciones de origen no seguro. Los productos antivirus Dr.Web para Android detectan correctamente el troyano Android.SmsBot.459.origin, por lo tanto, el mismo no representa amenaza para nuestros usuarios.