Campaña de robo de SMS en Android detectada en 113 países

Los investigadores de Zimperium, una empresa de seguridad móvil con sede en EE. UU., han descubierto una campaña de robo de SMS a gran escala que afecta a dispositivos Android en 113 países.

Esta campaña a gran escala, que Zimperium ha rastreado desde febrero de 2022, ha identificado más de 107,000 muestras únicas de malware que utilizan aplicaciones maliciosas de Android para robar los mensajes SMS de los usuarios.

Los actores de la amenaza detrás de esta campaña de malware utilizaron enlaces de anuncios maliciosos y bots de Telegram para automatizar la comunicación con posibles víctimas.

En el caso de malvertising, las víctimas son atraídas a páginas web falsas que imitan la Google Play Store, las cuales muestran conteos de descargas inflados para inculcar una falsa sensación de confianza y seguridad.

Por otro lado, en Telegram, los bots se hacían pasar por servicios legítimos y engañaban a las víctimas para que descargaran aplicaciones maliciosas únicas disfrazadas de APKs legítimos (paquetes de aplicaciones de Android).

Por ejemplo, los bots prometen dar al usuario un archivo APK pirateado para el cual solicitan que el usuario comparta su número de teléfono. Esto permite al atacante crear un nuevo APK para el seguimiento personalizado o futuros ataques.

“Con la víctima firmemente en manos del atacante, el atacante ahora tiene la capacidad de robar y vender información sensible sobre el usuario para obtener ganancias financieras”, escribió Zimperium en una publicación de blog.

Según Zimperium, una vasta red de aproximadamente 2,600 bots de Telegram estaba vinculada a esta campaña, que promovía varios APKs de Android. Además, el malware utilizó 13 servidores de Comando y Control (C&C) para robar y filtrar mensajes SMS de los dispositivos de las víctimas.

“De esas 107,000 muestras de malware, más de 99,000 de estas aplicaciones son/eran desconocidas y no estaban disponibles en repositorios generalmente accesibles. Este malware estaba monitoreando mensajes de contraseñas de un solo uso en más de 600 marcas globales, con algunas marcas teniendo cuentas de usuario en cientos de millones de usuarios”, añadió la firma de seguridad móvil.

Las víctimas de esta campaña abarcaron 113 países, siendo Rusia e India los principales objetivos, seguidos por Brasil, México, EE. UU., Ucrania, España y Turquía.

Durante su investigación, Zimperium descubrió que el malware transmite mensajes SMS desde el dispositivo infectado a un punto final de API específico en el dominio ‘fastsms[.]su’. Fast SMS (‘fastsms[.]su’) es un sitio web que permite a los usuarios comprar acceso a números de teléfono “virtuales” en países extranjeros para fines de anonimización y autenticación en varias aplicaciones y servicios en línea.

Los investigadores sienten que los números de teléfono vinculados a los dispositivos infectados están siendo utilizados por el servicio ofrecido sin el conocimiento de la víctima para varias cuentas en línea, ya que los permisos de acceso a SMS de Android solicitados permiten al malware interceptar contraseñas de un solo uso (OTPs) requeridas para registros de cuentas y autenticación de dos factores (2FA).

Las víctimas podrían incurrir en cargos no autorizados en sus cuentas móviles y verse implicadas en actividades ilícitas que involucren sus dispositivos y números de teléfono.

“La proliferación de este malware móvil, junto con la facilidad del robo de datos (por ejemplo, SMS, OTPs), representa una amenaza significativa tanto para individuos como para organizaciones. Estas credenciales robadas sirven como trampolín para actividades fraudulentas adicionales, como crear cuentas falsas en servicios populares para lanzar campañas de phishing o ataques de ingeniería social”, concluyó Zimperium.

Para evitar el uso indebido del número de teléfono, se insta a los usuarios a no descargar APKs fuera de la Google Play Store, negar permisos excesivos de aplicaciones con funcionalidades no relacionadas y asegurarse de que Play Protect esté activo en sus dispositivos.