Así es la campaña que suplanta a Correos para propagar troyanos bancarios

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Creación de aplicaciones seguras: recomendaciones para los servicios financieros Leer

El laboratorio de ESET España lleva varias semanas siguiéndole la pista a una campaña de propagación de troyanos bancarios que tiene a usuarios españoles entre sus objetivos y, de ellas, la que más éxito está obteniendo es la que se hace pasar por Correos. Ahora la compañía alerta de que se ha producido este fin de semana un importante repunte de mensajes SMS que suplantan a la entidad.

Esta campaña utiliza mensajes SMS suplantando la identidad de Correos e indicando a sus receptores que tienen un envío de camino a su casa, proporcionando además un enlace sobre el que pulsar. Con el aumento de los pedidos online desde hace meses debido a la crisis sanitaria, no es extraño que muchos de los que reciban este mensaje estén realmente esperando un paquete, de ahí el éxito que está teniendo esta campaña.

El enlace proporcionado redirige a una URL preparada por los delincuentes que simula ser una web oficial perteneciente a Correos, usando incluso su logotipo. En esta web se nos muestra un supuesto número de envío y se nos invita a descargar una aplicación para realizar el seguimiento. Además, se ofrecen instrucciones para instalar la aplicación desde orígenes desconocidos, ya que, por defecto, Android bloquea estas aplicaciones si no se descargan desde un mercado de aplicaciones oficial.

A pesar de su sencillez, la plantilla utilizada (en la imagen superior) resulta bastante convincente para muchos usuarios. Esto, unido al hecho real de estar esperando un paquete, ha hecho que muchos bajen la guardia en los últimos días y descarguen e instalen la aplicación maliciosa en sus dispositivos Android. Es importante recordar que las amenazas propagadas en estas campañas en concreto no afectan a otros dispositivos como los iPhone de Apple.

Según explica Eset, los dominios utilizados en las campañas de propagación de esta amenaza durante el pasado fin de semana fueron registrados hace pocos días como, por ejemplo, “Correos-Cdn[.]com” o “Correos-AplI[.]com”.  En lo que respecta a la composición de estas webs, tal y como apuntaba el usuario de Twitter @TFujiwara86, se está reutilizando infraestructura de campañas anteriores y utilizando un kit de distribución de malware modificado, incluso se ha podido llegar a ver en las webs maliciosas referencias a otras empresas de transporte como DHL.

En esos repositorios se observa la aplicación maliciosa que, durante el pasado fin de semana, se ha estado propagando con nombres como “correos-3.apk” o “correos-4.apk”. Estas aplicaciones son en realidad troyanos bancarios de las familias Cerberus o Alien, que roban credenciales bancarias e interceptan los mensajes de doble factor de autenticación que envían los bancos para confirmar la realización de transferencias de dinero.

Entre los permisos adquiridos por estas aplicaciones maliciosas, Eset ha constatado que se incluyen los necesarios para recibir, leer y modificar estos mensajes de verificación mediante SMS, por lo que una vez el usuario accede a su entidad bancaria a través de la web o aplicación, los delincuentes consiguen sus credenciales, realizan una transferencia a una cuenta bancaria controlada por ellos e introducen el código de verificación interceptado vía SMS para su autorización, todo eso sin que la víctima sea consciente hasta que se dé cuenta de que falta dinero en su cuenta corriente.

Eset recuerda que a la población que evita instalar aplicaciones a menos que se trate de una fuente de confianza y que utilicen soluciones de seguridad en sus dispositivos.