Los estafas por SMS y WhatsApp, ¿cómo funcionan?
En los últimos tiempos hemos visto muchas estafas que llegan vía SMS y WhatsApp suplantando a empresas de mensajería. A nivel técnico puede ser tan complejo que potencialmente llega a tomar el control total del dispositivo (si es Android) y acceder a nuestras cuentas bancarias.
En un último caso de Fedex, se calcula que 60.000 dispositivos han sido infectados ya en todo el mundo, perteneciendo la mayor parte de ellos a España, y más de 11 millones de números de teléfono españoles recopilados y almacenados por los atacantes, según la compañía de seguridad suiza PRODAFT. Desde Xataka han analizado tanto el proceso completo como el troyano final que se instala en el dispositivo.
Los atacantes son capaces de acceder al dispositivo infectado y a las cuentas bancarias en muchos casos, e incluso a operar con ellas y retirar nuestro dinero sin hacer ruido.
Un mensaje inocente que puede dejarnos sin ahorros:
"Hola XXX, su envío se entregó el 4/09-2020 en el punto de entrega. Vea dónde puede recoger su paquete aquí [URL ELIMINADA]
Este es el formato típico del mensaje que llega. Al pulsar en el enlace lleva a una página en la que se indica cómo descargar una app para continuar con la gestión. Este paso es crítico. Una vez instalada la aplicación (no lo hagas bajo ningún concepto), llegan los problemas.
¿Qué hago si recibo el mensaje?
El contacto llega a un usuario cualquiera porque uno de sus contactos ya está infectado. La persona que ha instalado la app previamente, da acceso a toda su lista de contactos, y ahí es donde encuentra el nombre asignado a cada número. A veces es fácil discernirlo porque el nombre que usan puede ser "JUAN trabajo", por ejemplo, o "Mamá", según el nombre que te haya puesto tu contacto en su agenda de teléfono. No pasa nada por haber recibido el mensaje, simplemente hay que ignorarlo y no pulsar su enlace.
En general, la estafa de la aplicación afecta a smartphones con Android, pero eso no quiere decir que los usuarios de iPhone y iOS no reciban el mismo SMS. Lo que cambia es que, al detectar las webs maliciosas que se está accediendo a ellas desde iOS, algo que hacen identificando el User-Agent del navegador, no se nos ofrece la descarga e instalación de la aplicación falsa.
En su lugar, el destino final del navegador será una web de phishing que simula tener el aspecto de cualquier empresa conocida, felicitándonos por "haber sido seleccionado al azar para completar una encuesta y ganar un premio increíble". Esta estafa es más común y es parecida a la del SMS de Correos del que hablamos en 2019.
¿Por qué estas aplicaciones son tan peligrosas?
Estas aplicaciones son peligrosas porque secuestra nuestra aplicación de SMS o WhatsAspp y la sustituye por otra con un aspecto similar para acceder a todos nuestros mensajes antiguos y aquellos que recibamos a partir de la instalación. Al tener también la capacidad de enviar SMS, la aplicación enviará la estafa a otros números de teléfono obtenidos por los atacantes gracias a que también accede a las agendas.
Además, gracias a contar con permisos de accesibilidad (uno de los de mayor en Android) concedidos por las víctimas, la aplicación es capaz de controlar todo lo que pasa en nuestra pantalla y acceder a todos los datos que se muestren en ella, como contraseñas, identificadores como DNI, etc. Todos ellos pueden ser utilizados para acceder a las cuenta bancarias y hacer transferencias sin que las víctimas tengan constancia.
Como el propio sistema indica, si damos permisos de accesibilidad, esta aplicación falsa de FedEx podrá "controlar totalmente el dispositivo", podrá "ver y controlar toda la pantalla" y "ver y realizar acciones". Es decir, podrá ver todo lo que escribamos y la información que muestren nuestras aplicaciones, e incluso hacer pulsaciones fantasma en la pantalla, cerrarlas, etc. Según nos cuenta el experto desarrollador en Android Linuxct, la aplicación puede hacerlo gracias al tap-jacking, un proceso por el cual se autoconcede permisos al tocar la pantalla.
Gracias al mencionado tap-jacking, la aplicación ahora se mueve con
total libertad, y la primera acción visible que realiza es sustituir la
aplicación predeterminada de mensajes SMS por una que tiene el mismo aspecto.
De esta forma, todos los SMS que recibamos serán leídos por la aplicación,
pero sin notificarnos. Con todo esta esta información, los atacantes están
listos para, además de propagar el SMS de la estafa masivamente, comenzar a
ganar dinero vaciando cuentas de las víctimas.
¿Cómo consiguen dinero los atacantes al instalar las víctimas la aplicación?
Con el permiso de accesibilidad activado y el tap-jacking, que permite monitorizar todas las aplicaciones que abrimos, lo que hacemos en ellas y todos los datos como códigos, contraseñas o credenciales, junto con la lectura de todos nuestros mensajes SMS, los atacantes pueden obtener ya información altamente sensible.
Con el control total del dispositivo es muy fácil ver o extraer nuestro DNI y la clave que usamos para nuestra app del banco, a partir de ahí y sin que veamos los SMS pueden vaciar nuestra cuenta
Esta puede ser nuestro DNI, el PIN que hemos introducido para acceder a nuestra cuenta bancaria a través de la aplicación oficial del banco y los códigos de verificación que llegan por SMS. Para robar esa contraseña de la aplicación del banco, la app muestra una ventana falsa para obtener credenciales, pero puede hacerlo incluso capturando los datos que aparecen en pantalla. También es posible que el DNI se obtenga de mensajes viejos donde podemos tenerlos por algún comunicado o notificación de empresa o plataforma.
Gracias a tener acceso a nuestros SMS, y lo que es más importante, a secuestrarlos sin que nos enteremos de que nuestro smartphone los está recibiendo, ahora los atacantes, si tienen en su poder nuestras credenciales, pueden comenzar a realizar transferencias de dinero a sus cuentas de destino.
Los SMS que deberíamos recibir para autorizar dichas transferencias llegarán, pero sin que las víctimas lo sepan al no poder acceder ni a la aplicación real de mensajes ni a las notificaciones de estas, de forma que los atacantes podrán usarlos para realizarlas y robar grandes cantidades. Y todo ello, sin que la víctima tenga manera de saber que está perdiendo el dinero hasta que vea en su cuenta que ha desaparecido sin haberlo autorizado.
¿Cómo saber si estoy infectado por la aplicación?
Saber si tu smartphone está infectado puede no ser siempre un proceso totalmente común a otros casos. En general, por lo que se observa con la aplicación descargada desde enero, hay algunas formas de descubrir si estamos infectados:
Si nuestra aplicación de mensajes SMS por defecto (la de Google o la del fabricante) ha cambiado por otra.Buscando "LA-EMPRESA" entre nuestras aplicaciones instaladas si hemos recibido el SMS y hecho el proceso de instalación. Es posible que esta aplicación se pueda ocultar, pero si está en nuestra lista de aplicaciones, estamos infectados sí o sí. Dado que la aplicación que suplanta a la de Mensajes del sistema secuestra todos los SMS que recibimos, podemos pedir a familiares que nos envíen algún SMS para ver si nos llegan. Si no, eso significaría que estamos infectados.
Tratando de abrir Play Store para instalar otras aplicaciones. En al menos dos de los smartphones infectados que hemos analizado, la aplicación maliciosa, gracias al permiso de accesibilidad concedido, es capaz de cerrar Play Store sin que podamos hacer nada. Si vamos a los ajustes de aplicaciones predeterminadas a cambiar la aplicación de mensajes, podemos ver cómo FedEx se ha establecido como predeterminada. En el caso de que podamos llegar a ese menú (cabe la posibilidad de que los ajustes se cierren) también es posible que Fedex no permita realizar el cambio de aplicación predeterminada.
Al conceder este permiso con el botón "Permitir" que muestra la interfaz de aviso del sistema, la aplicación maliciosa tiene, además, capacidad de leer todos nuestros SMS, contactos, y puede incluso realizar llamadas, conectarse a internet y funcionar en segundo plano.
Y eso es lo que hará a partir de ahora minuto a minuto, monitorizar qué SMS enviamos y recibimos y cuáles son nuestros contactos, para que los atacantes puedan enviarles mensajes similares y que ellos se infecten. Si nuestro móvil se ha infectado recopilará nuestros contactos pero no les enviará a ellos el mensaje de FedEx en nuestro nombre. En su lugar, nuestros contactos serán obtenidos por los atacantes para enviarles el mensaje desde el móvil de otra víctima que no les tenga en su agenda, para que el remitente no les resulte familiar.
¿Cómo funciona el malware?
El contenido de este SMS es un texto que nos indica que tenemos un paquete para descargar y que, para hacerlo, necesitan nuestros datos. En dicho texto hay un enlace que lleva a una página web que simula la página de "cualquier empresa", en el caso de Android. En iOS no se pueden instalar archivos de terceros de forma tan sencilla, por lo que nos salta publicidad y webs falsas que simulan un sorteo de un iPhone. Volviendo a la interfaz que se muestra en Android, esta web tan solo tiene un botón para descargar un archivo APK, el responsable de todo esto.
Este archivo recibe el nombre de FedEx.apk, y tiene un peso de entre 3,8 y 5,8MB, según la versión que instalemos. La app va cambiando continuamente, por lo que estas cifras pueden variar. Actualmente, en el momento que descargamos el APK, Google nos avisa de que puede ser una app maliciosa y, de hecho, está registrada ya en Google Play Protect, el servicio de protección que tiene Google para que no descarguemos malware. A pesar de que Google tiene constancia de que es un archivo malicioso, se puede instalar en Android si le damos a aceptar.
Antes de instalarla saltan unas cuantas alarmas. En primer lugar, como hemos adelantado, Google Play Protect nos avisa de que puede ser una app dañina. En segundo lugar, nada más abrir la app nos indica que necesita controles de accesibilidad para funcionar y, por último, pide controles completos del dispositivo. Permisos especiales que no tendría por qué pedir y que le darán control sobre nuestro móvil.
Lo primero que hace la app es mostrar un panel en el que nos indica que hay que activar el servicio de accesibilidad para usar FedEx. Si le damos aceptar, se abrirá el menú de accesibilidad de Android (ruta manual ajustes/accesibilidad).
Si le damos permisos de accesibilidad, la app tendrá control completo sobre el dispositivo. Podrá ver lo que hay en la pantalla, realizar pulsaciones sobre la misma y autoconcederse permisos. Una vez en este punto, Android nos describe qué permite el permiso de accesibilidad. En este caso hablamos de un permiso de control total sobre el dispositivo. De hecho, literalmente el mensaje reza "¿Quieres permitir que FedEx pueda controlar totalmente tu dispositivo?".
Fuente: Xataka
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!