Robos en carteras electrónicas

0

No es la primera vez que los Laboratorios Kaspersky tratan el tema del malware móvil. Concretamente, hablamos de ese tipo de malware que es capaz de comunicarse con números premium mediante SMS, además de robar dinero de cuentas bancarias online. Los cibercriminales están, continuamente, buscando nuevas fórmulas para robarnos dinero mediante Troyanos bancarios.

La reciente aparición de Trojan-SMS.AndroidOS.Waller.a ha supuesto el descubrimiento de una técnica novedosa que permite, no solo enviar mensajes SMS a números premium, sino además extraer dinero de las víctimas que tengan carteras electrónicas del tipo QIWI.

Una vez se inicia el Trojan-SMS.AndroidOS.Waller.a, contacta con el servidor de que le remite instrucciones y espera nuevos comandos a ejecutar.

requerimiento de instrucciones al Servidor de Comando y Control

El servidor de Comando y Control (o C&C) de los ladrones está ubicado en playerhome.info. Este dominio está registrado por una empresa francesa, ofreciendo los datos de contacto un número de Francia, pero sin embargo la dirección de email está ubicada en la empresa rusa Yandex. El servicio de supervisión CloudFare es el elegido para almacenar el dominio.

Tras recibir los comandos de interés, el troyano Trojan-SMS.AndroidOS.Waller.a podría:

  • Comprobar el balance de una cuenta móvil, enviando SMS a la red móvil del operador de red. Intereptaría el mensaje devuelto con la información.
  • Enviar SMS a un número específico con un texto elegido.
  • Abrir una sesión de internet a una dirección de su elección.
  • Podría actualizarse
  • Descargar e instalar otro tipo de entes maliciosos.
  • Interceptar mensajes de texto de números escogidos.
  • Enviar mensajes de texto a todos los contactos del libro de contactos del usuario.

Sin embargo, además de las funciones estandar de un troyano tipo SMS, Waller posee otras características que lo diferencian. puede extraer dinero de Carteras QIWI, pertenecientes a los dueños de smartphones infectados. Tras recibir el comando en cuestión, el troyano comprobaría el balance de la cuenta QIWI. Lo podría hacer mediante el envío de un SMS al destino 7494. El SMS enviado con la información solicitada sería redirigido a los dueños del troyano.

Si el usuario del teléfono tiene una cuenta de este tipo y Waller recibe información que confirme que hay saldo positivo en la cuenta, el troyano puede transferir el dinero desde la cuenta QIWI personal hacia los cibercriminales. Para lograrlo, se envía un comando específico al troyano, para que envíe un SMS al número 7494 (nuevamente) que esta incluiría el número de cartera de los criminales, junto con el importe a transferir. Cada día existe un límite de unos 15000 rublos (unos 380 €).

Justo debajo podéis encontrar una muestra de respuesta enviada desde un C&C, que incluye comandos para comprobar el balance de una cuenta, el balance de QIWI y cómo borrar información procedente de los números premium 1141, 1151, 1899 y 1161:

Algunas de las múltiples instrucciones contenidas en este troyano, referentes al manejo de mensajes SMS

Utilizar carteras electrónicas posibilita que los criminales roben dinero de personas, incluso aunque residan en países donde los números de tarificación especial no funcionan. Las carteras electrónicas pueden ser administradas mediante SMS en muchos países. Según la Wikipedia, el servicio QIWI está presente en otros siete países aparte de Rusia: Rumanía, Brasil, Kazajstán, Bielorrusia, Moldavia, Jordania y EEUU. También existen franquicias en otros 15 países.

El esquema de infección sigue un patrón conocido, que consiste en camuflarse en atractivas aplicaciones para smartphone del tipo: 

  • Firmware universal para Android
  • Media player Classic para Android
  • Cambia tu voz en Android

También se conoce su dispersión mediante Spam existente en SMS. Para reducir las posibilidades de infección ante este tipo de amenaza, los laboratorios Kaspersky recomiendan que el usuario:

  • No active el “modo depurador” en el dispositivo.
  • No habilite la opción para “instalar aplicaciones desde orígenes desconocidos“.
  • Instale apps únicamente desde canales oficiales (Google Play, Amazon Store, etc.)
  • Examine cuidadosamente los permisos solicitados por cada aplicación antes de instalarla.
  • Si los permisos requeridos no tienen nada que ver con el desempeño de la app, no se debe instalar la misma.
  • Utilización de un software de protección anti-malware y anti-spyware para smartphone o tablet.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR