Malware en SMS es enviado a usuarios de Android

0

Investigadores forenses están alertando a los dueños de teléfonos inteligentes Android acerca de un nuevo tipo de ataque, que envía malware en SMS a los usuarios que lo reciben. Sí, esto es dentro de los mensajes de texto que aparentan ser tan inocuos.

Malware en SMS es enviado a usuarios de Android

Un equipo de ciberseguridad conocido como CSIS describe como el malware -llamado MazarBOT- está siendo distribuído mediante SMS en Dinamarca por el momento, aunque es lógico que se expanda a otros operadores y países si nadie se lo impide.

MazarBOT, malware en SMS

Las víctimas verán en primer lugar un mensaje de texto que aterriza en su móvil, sin ser solicitado. Es decir, no tendrá conexión aparente con ninguno de nuestros servicios. Sin embargo, dicho mensaje de texto utiliza la tan conocida ingeniería social para engañar a los usuarios más incautos, contándoles una historia, ofreciéndoles un descuento o dándoles una noticia que los lleve a pulsar el enlace y descargar la amenaza.

El CSIS proporcionó una versión de muestra de dicha amenaza, convenientemente desinfectada, para que reconozcamos su forma de actuar.

Muestra del malware en SMS que despliega Mazarbot

Has recibido un mensaje multimedia desde +[código país] [número remitente] Sigue el enlace http://www.mmsforyou[.]net/mms.apk para ver el mensaje.

Una vez se descarga el paquete APK, las víctimas potenciales reciben avisos para conceder un número indecente de permisos a su Administrador de dispositivos Android:

  • SEND_SMS
  • RECEIVE_BOOT_COMPLETED
  • INTERNET
  • SYSTEM_ALERT_WINDOW
  • WRITE_SMS
  • ACCESS_NETWORK_STATE
  • WAKE_LOCK
  • GET_TASKS
  • CALL_PHONE
  • RECEIVE_SMS
  • READ_PHONE_STATE
  • READ_SMS
  • ERASE_PHONE

Una vez instalado el malware MazarBOT, este descargará una copia de Tor en los smartphones afectados, para de ese modo conectarse anónimamente a la red, antes de enviar un mensaje a su creador, donde le indicará la ubicación donde se encuentra el usuario hackeado.

Siguientes pasos de MazarBOT

Con el malware en SMS ya desplegado, se pueden llevar a cabo diferentes acciones sobre el dispositivo, incluyendo la monitorización completa del terminal en remoto y la instalación de puertas traseras para controlarlo. Obviamente, se podrán enviar mensajes a números “premium” e incluso interceptar los códigos de autentificacion en dos factores -como los usados por Google Authenticator y otras apps- para conseguir claves del usuario.

MazarBOT

Aún hay más, con un control completo sobre el dispositivo Android, los criminales podrán hacer cosas como borrar todo el contenido del teléfono e incluso lanzar ataques MiTM (hombre en el medio) contra otros dispositivos conectados a este.

¿Tiene algo que ver con Rusia?

En el análisis en profundidad de MazarBOT, el CSIS dejó claro que este elemento estaba siendo vendido en la Deep Web rusa (ya sabéis, foros y cloacas varias de la red) y además, un dato a tener en cuenta: el malware NO se activa en aparatos Android con lengua rusa preconfigurada. Los creadores definieron además una “red segura” codificada en el malware, para evitar infectarse ellos mismos.

No sabemos si MazarBOT es ruso, iraní o de Manchuria. Lo que sí sabemos es una cosa, y es que evitar este tipo de amenazas es bastante sencillo si usamos un poco de conocimiento y, sobre todo, sentido común. Y lo segundo es cosa vuestra!

  • User Ratings (3 Votes) 9.4
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR