Xafecopy, el malware para Android que te roba sin que lo sepas

Demos la bienvenida a Xafecopy, un troyano para Android descubierto por los investigadores de Kaspersky Labs. que ya se ha extendido a 47 países y ha afectado a casi 5.000 usuarios, hasta la fecha. El 37,5% de las infecciones se han detectado en India, seguido de México, Turkía y Rusia.

También puedes leer... Informe global sobre Seguridad de la Información 2016-2017 Evolución de los ataques con exploits GDPR: todas sus claves Riesgos de IoT en las empresas Desarrollo de estrategias de ciberseguridad nacional

Desde Kaspersky explican que el malware se dirige contra el método de facturación WAP, robando dinero a través de las cuentas móviles de los usuarios sin que se den cuenta. Xafecopy se esconde en aplicaciones útiles y una vez instalado carga código malicioso en el dispositivo de la víctima.

La facturación a través de Wireless Application Protocol (WAP) se utiliza desde hace muchos años para el pago de servicios y subscripciones a través de móviles, sin que tengan que ser smartphones. Aunque ya no se utiliza demasiado, Kaspersky ha detectado que los operadores móviles aún soportan parte de la tecnología, incluida la opción de facturación, que es lo que están aprovechando los ciberdelincuentes para acceder a páginas para realizar el fraude sin que el usuario lo detecte hasta que le llegue la factura.

John Snow, investigador de Kaspersky, explica en un post que el malware que explora la facturación de WAP es menos complicado que otros troyanos que envían mensajes SMS a números premium.

Según la firma de seguridad, este tipo de troyanos empezaron a aparecer más a menudo que de costumbre en el segundo trimestre de este año. Uno de los ejemplos mencionados por el investigador de Kaspersky es la familia Ubsod, conocida oficialmente como Trojan-Clicker-AndroidOS.Ubsod. Este malware recibe las direcciones de las páginas web con botones WAP desde el servidor C&C, y después visita esas URL para suscribir a los usuarios a varios servicios de pago no deseados.
el mensaje que la operadora envía al usuario para notificarles que ha realizado una suscripción es interceptado. Además, puede desactivar la WiFi para que el dispositivo móvil se conecte a los datos porque la facturación WAP sólo funciona cuando un usuario se conecta a Internet a través de una red móvil y no a través de WiFi.

Otro troyano de este tipo es Trojan-Dropper.AndroidOS.Ubsod, que hace lo mismo y un poco más: descomprimir los archivos descargados junto con él einiciarlos. El tercer ejemplo es Trojan-Banker.AndroidOS.Ubsod, qu además de todo lo anterior superpone aplicaciones bancarias con ventanas de phishing, ejecuta comandos, muestra anuncios y envia mensajes SMS.