Rotexy, un malware móvil cruce de troyano bancario y ransomware

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Recientemente, el malware móvil Rotexy, un cruce entre un troyano bancario y un ransomware, ha estado extendiendo sus tentáculos. A lo largo de agosto y septiembre, los expertos de Kaspersky Lab registraron más de 40.000 intentos de implantar esta aplicación maliciosa en smartphones Android.

Rotexy se propaga a través de SMS que contienen enlaces para la descarga de la aplicación y algunos textos que hacen que las personas hagan clic en esos enlaces. En algunos casos, estos mensajes se envían desde el número de teléfono de un amigo, lo que hace que la gente haga clic en los enlaces.

Después de infectar un dispositivo, el troyano comprueba en qué dispositivo ha aterrizado. Hace esto para obstaculizar el trabajo de los investigadores de antivirus: si el malware detecta que se está ejecutando en un emulador y no está en un smartphone real, todo lo que hace es completar un ciclo interminable a través del proceso de inicialización de la aplicación.

Solo después de asegurarse de que el dispositivo cumple con estos requisitos básicos, el troyano comenzará a actuar. Primero solicitando derechos de administrador. En teoría, el usuario puede negarse a otorgarlos, pero la solicitud seguirá apareciendo, lo que dificultará el uso del terminal. Habiendo conseguido su objetivo, Rotexy informa que la aplicación no se cargó y oculta su icono.

Después de esto, el malware se pone en contacto con sus propietarios y les proporciona información sobre el dispositivo. En respuesta, recibe instrucciones y un conjunto de plantillas y textos. De forma predeterminada, Rotexy se comunica directamente con el servidor de C&C, pero sus creadores implementaron otras formas de enviar pedidos a través de Google Cloud Messaging y SMS.

La manipulación de SMS no es el único truco bajo la manga del malware, ni siquiera el principal. Su verdadero objetivo es hacer ganar dinero para sus creadores, principalmente mediante el robo de datos de tarjetas bancarias. Para hacerlo, se superpone una página de phishing en la pantalla con el texto recibido junto con las instrucciones de intercepción de SMS. El aspecto de la página puede variar, pero el propósito general es decirle al propietario del smartphone que tiene pendiente una transferencia de dinero y deben ingresar los detalles de la tarjeta para recibirla.