Los Hackers usan torres falsas de comunicación para extender un troyano bancario para Android
Los piratas informáticos chinos han llevado el ataque de Smishing al siguiente nivel, usando torres de teléfono celular maliciosas para distribuir malware bancario de Android a través de mensajes SMS falsificados.
SMiShing: son los ataques de phishing enviados vía SMS, son un tipo de ataque en el que los estafadores usan el ataque de falsificación de números para enviar mensajes falsos convincentes para engañar a los usuarios móviles para que descarguen una aplicación con malware en sus teléfonos inteligentes.
Los investigadores de seguridad de Check Point Software Technologies han descubierto que los piratas informáticos chinos están usando estaciones falsas base (BTS towers) para distribuir “Swearing Trojan“, un malware bancario Android que una vez apareció neutralizado después de que sus autores fueran arrestados en una incursión policial.
Este es el primer caso en el mundo real en el que los delincuentes jugaban inteligentemente de tal manera que utilizaban BTS – un equipo que normalmente se instala en torres de teléfonos celulares – para propagar malware.
El SMS de phishing, que se disfraza como el que proviene de los proveedores chinos de servicios de telecomunicaciones China Mobile y China Unicom, contiene texto muy convincente con un enlace para descargar Android malicioso APK.
Dado que Google Play Store está bloqueado en China, el SMS facilita a los usuarios que instalen el APK desde una fuente no fiable.
“El uso de un BTS para enviar mensajes falsos es bastante sofisticado y el contenido de SMS es muy engañoso.El mensaje engaña a los usuarios a hacer clic en una URL malintencionada que instala malware”, dijeron los investigadores en la entrada del blog.
Una vez instalado, el malware de Swearing se distribuye enviando mensajes de phishing automáticos a los contactos de la víctima.
Sin embargo, el alcance máximo de una antena BTS puede ser tan baja como 10-22 millas, la técnica es muy exitosa y sofisticada en ataques dirigidos.
Descubierto el año pasado por los investigadores de Tencent Security,** el troyano Swearing tiene la capacidad de robar credenciales bancarias y otra información sensible de los dispositivos Android ** y pasar por alto la autenticación de dos factores mediante la sustitución de la aplicación legitima SMS de un usuario con una versión malintencionada que intercepta mensajes SMS entrantes.
¿Qué es lo más interesante?
Para evitar la detección de cualquier actividad maliciosa, el troyano Swearing no se conecta a ningún servidor de control y control remoto (C & C). En su lugar, utiliza SMS o correos electrónicos para enviar datos robados a los hackers.
“Esto proporciona al malware una buena cobertura para sus comunicaciones y dificulta los intentos de rastrear cualquier actividad maliciosa”.
Aunque esta campaña de malware en particular se ha dirigido a usuarios chinos, los investigadores de Check Point advirtieron en un blog que la amenaza podría propagarse rápidamente en todo el mundo cuando sea adoptada por el malware occidental.
El esquema de malware parece ser más grande de lo que se pensaba, ya que según los investigadores, sólo las direcciones de correo electrónico 21cn.com se utilizaron en la campaña inicial de malware, mientras que los nuevos ataques usaron otros proveedores populares de correo electrónico chino, como 163.com, sina.cn , Y qq.com, y Alibaba Cloud y otras cuentas de correo electrónico alojadas en el servicio de nube también.
Check Point también señala el desagradable** troyano de malware de HummingBad** que también fue descubierto en el mercado móvil chino, y “resultó ser las aves tempranas que continuaron propagándose por todo el mundo” si fueron adoptadas por el malware occidental.