¿Quieres recibir una notificación por email cada vez que Mejor Antivirus escriba una noticia?
No es la primera vez que los Laboratorios Kaspersky tratan el tema del malware móvil. Concretamente, hablamos de ese tipo de malware que es capaz de comunicarse con números premium mediante SMS, además de robar dinero de cuentas bancarias online. Los cibercriminales están, continuamente, buscando nuevas fórmulas para robarnos dinero mediante Troyanos bancarios.
La reciente aparición de Trojan-SMS.AndroidOS.Waller.a ha supuesto el descubrimiento de una técnica novedosa que permite, no solo enviar mensajes SMS a números premium, sino además extraer dinero de las víctimas que tengan carteras electrónicas del tipo QIWI.
Una vez se inicia el Trojan-SMS.AndroidOS.Waller.a , contacta con el servidor de que le remite instrucciones y espera nuevos comandos a ejecutar.
El servidor de Comando y Control (o C&C) de los ladrones está ubicado en playerhome.info. Este dominio está registrado por una empresa francesa, ofreciendo los datos de contacto un número de Francia, pero sin embargo la dirección de email está ubicada en la empresa rusa Yandex. El servicio de supervisión CloudFare es el elegido para almacenar el dominio.
Tras recibir los comandos de interés, el troyano Trojan-SMS.AndroidOS.Waller.a podría:
Sin embargo, además de las funciones estandar de un troyano tipo SMS, Waller posee otras características que lo diferencian. puede extraer dinero de Carteras QIWI , pertenecientes a los dueños de smartphones infectados. Tras recibir el comando en cuestión, el troyano comprobaría el balance de la cuenta QIWI. Lo podría hacer mediante el envío de un SMS al destino 7494. El SMS enviado con la información solicitada sería redirigido a los dueños del troyano.
Si el usuario del teléfono tiene una cuenta de este tipo y Waller recibe información que confirme que hay saldo positivo en la cuenta, el troyano puede transferir el dinero desde la cuenta QIWI personal hacia los cibercriminales. Para lograrlo, se envía un comando específico al troyano, para que envíe un SMS al número 7494 (nuevamente) que esta incluiría el número de cartera de los criminales, junto con el importe a transferir. Cada día existe un límite de unos 15000 rublos (unos 380 €).
Justo debajo podéis encontrar una muestra de respuesta enviada desde un C&C, que incluye comandos para comprobar el balance de una cuenta, el balance de QIWI y cómo borrar información procedente de los números premium 1141, 1151, 1899 y 1161:
Utilizar carteras electrónicas posibilita que los criminales roben dinero de personas, incluso aunque residan en países donde los números de tarificación especial no funcionan. Las carteras electrónicas pueden ser administradas mediante SMS en muchos países. Según la Wikipedia, el servicio QIWI está presente en otros siete países aparte de Rusia: Rumanía, Brasil, Kazajstán, Bielorrusia, Moldavia, Jordania y EEUU. También existen franquicias en otros 15 países.
El esquema de infección sigue un patrón conocido, que consiste en camuflarse en atractivas aplicaciones para smartphone del tipo:
También se conoce su dispersión mediante Spam existente en SMS. Para reducir las posibilidades de infección ante este tipo de amenaza, los laboratorios Kaspersky recomiendan que el usuario:
