Alerta: Virus troyanos para Android son lanzados por SMS por Correos España por hackers

De acuerdo con la firma de ciberseguridad, sus investigadores tienen semanas revisando diversas campañas de distribución de troyanos bancarios dirigidas a residentes de España.

Entre todas ellas, la más exitosa ha sido una campaña que envía falsos mensajes desde la oficina de Correos de España como anzuelo, aprovechándose de la imagen de esta empresa del Estado español con más de 300 años en su espalda. Según ESET España, “son bastantes los usuarios que ya han caído en esta trampa”.

Aprovechándose de la crisis por COVID-19

Desde finales del mes pasado, ESET España comenzó a emitir información acerca sobre esta nueva campaña de propagación de malware. Según la organización, los operadores envían mensajes SMS a residentes del país ibérico haciéndose pasar por la empresa de Correos de España, donde afirman que hay un envío en camino a su casa.

De acuerdo con ESET España, el éxito de esta campaña se debe a sus características adaptadas a las circunstancias actuales, ya que en la pandemia de COVID-19 han incrementado los pedidos en línea y es probable que muchos españoles estén a la espera de recibir paquetes a través de Correos.

El mensaje SMS incluye un link que redirecciona a las potenciales víctimas a una falsa página web de Correos, en la cual se muestra el logo de la compañía y un número de envío inventado.

ESET España reportó que los dominios utilizados durante el fin de semana para esta campaña fueron registrados recientemente por un residente de Rusia y que, antes de utilizar la imagen de Correos, habían usado la imagen de la empresa de paquetería mundial DHL.

Troyanos dirigidos a móviles Android

En dicha página se invita a los posibles afectados a descargar una aplicación para supuestamente rastrear el paquete, sin embargo se trata de un software malicioso.

Por si fuera poco, los ciberdelincuentes también incluyen una guía para explicar cómo instalar el programa malicioso, debido a que, como no se encuentra en una tienda de aplicaciones, es bloqueado por el sistema operativo Android.

Cabe destacar que esta campaña de distribución ha sido diseñada para atacar únicamente a dispositivos Android, ya que el malware que se propaga no afecta a móviles iOS.

Cerberus y su cepa Alien, los troyanos propagados

Tras analizar la composición de los dominios vinculados a esta campaña los investigadores de ESET España descubrieron que esta oleada de ataques se encarga de distribuir los troyanos bancarios de la familia Cerberus, como la cepa Alien.

Estos troyanos para Android adquieren permisos en los móviles que les facilitan robar credenciales bancarias de los usuarios. Además, pueden interceptar los mensajes de doble factor de autenticación que envían las aplicaciones bancarias para confirmar transferencias, así como también de monederos y plataformas exchange de criptomonedas.

El troyano bancario de Android más exitoso

En septiembre del año pasado, se conoció que Alien, cepa del troyano bancario Cerberus, estaba atacando a aplicaciones de criptomonedas para dispositivos Android, como Coinbase, Blockchain.com, Luno y Mycelium. Así lo dio a conocer la empresa de seguridad cibernética Threat Fabric.

Para Threat Fabric, “2020 marcó la desaparición de Cerberus, el servicio troyano bancario de Android más exitoso, o MaaS (Malware as a Service), de los últimos 12 meses”.

En esa ocasión, Threat Fabric comunicó la disminución de campañas activas del troyano Cerberus, y afirmó que las reportadas en septiembre pasado se trataban de una bifurcación de su código fuente, llamada Alien, creada poco después de que este fue abierto al público.