El troyano SMSFactory llega a España, y puede costarte más de 300€ sin que te des cuenta

7 dólares a la semana, unos 6,5€. Y hasta 336$ al año, unos 314€. Eso es lo que puede costarte el virus SMSFactory, un troyano que está golpeando Europa y que ha llegado a España formando parte de una campaña malware que los expertos en ciberseguridad de Avast han estado rastreando.

SMSFactory

Usuarios/as en países como Rusia, Brasil, Argentina, Turquía, Ucrania, EE. UU., Francia y ahora España, entre otros, están siendo los objetivos de una campaña que usa un malware TrojanSMS, llamado por Avast SMSFactory, que te quita dinero mediante el envío de SMS premium y llamadas a números de teléfono con tarifa premium. Números que parecen ser parte de un esquema de conversión, donde el SMS incluye un número de cuenta, identificando quién debe recibir el dinero por los mensajes enviados.

Si no se detecta la presencia de este malware a tiempo, SMSFactory puede generar una factura telefónica alta, hasta 7 dólares por semana o 336$ por año para las víctimas. Una versión que encontramos también es capaz de extraer las listas de contactos de las víctimas, lo que probablemente propague más el malware.

Como señalan los investigadores de Avast, el malware se está propagando “a través de publicidad maliciosa, notificaciones automáticas y alertas que se muestran en sitios que ofrecen trucos de juegos, contenido para adultos o sitios de transmisión de videos gratuitos, y sirven el malware disfrazado como una aplicación en la que los usuarios pueden acceder a juegos, videos o contenido para adultos. Una vez instalado, el malware se oculta, lo que hace que sea casi imposible para las víctimas detectar que está causando los cargos en sus facturas telefónicas”.

La app que no debes descargar

La publicidad maliciosa usada para engañar a los usuarios conduce a un sitio web en el que se te pide que descargues un archivo que se parece al sitio desde el que te redirigió. Esto puede ser, por ejemplo, una aplicación de pirateo de juegos, una aplicación de contenido para adultos, una aplicación de transmisión de video gratuita o similar. Una vez que el usuario hace clic en Descargar, se descarga la aplicación maliciosa. Como proviene de una fuente de terceros, el sitio web solicita al usuario que ignore la advertencia Play Protect incorporada de Android y continúe con la instalación.

Una vez instalado, el usuario se encuentra con una pantalla de bienvenida. Al hacer clic en aceptar, se activará el comportamiento malicioso de la aplicación. Luego, la aplicación le presenta al usuario un menú básico de videos, contenido para adultos y juegos que no funcionan o no están disponibles la mayor parte del tiempo.

Ampliar

Icono en blanco

SMSFactory utiliza varios trucos para permanecer en el dispositivo de la víctima y pasar desapercibido. Si lo buscas en la sección de aplicaciones instaladas en tu móvil, te encontrarás con un ícono en blanco en el listado. Además, SMSFactory puede ocultarte su presencia eliminando el ícono de la aplicación de la pantalla de inicio. Viene sin nombre de aplicación, lo que dificulta que el usuario descubra la aplicación infractora y la elimine. Es evidente que el malware se basa en que el usuario olvide la aplicación en su teléfono.

Una vez oculto, el malware se comunica con un dominio preestablecido y envía una identificación única asignada al dispositivo, su ubicación, número de teléfono, información del operador y modelo del teléfono. Si los hackers detrás de esta campaña consideran que el dispositivo de la víctima se puede utilizar, el dominio envía instrucciones al dispositivo en forma de una lista de números de teléfono a los que el malware enviará SMS premium o un número específico al que la aplicación intentará llamar.

Los SMS Premium

Al final de su informe, Avast brinda varios consejos para evitar que un malware de este tipo pueda entrar en nuestros móviles. Y uno de ellos recomienda deshabilitar o limitar los SMS premiun con tu operadora, ya que “si bien existen usos legítimos para los SMS premium, las recientes campañas de malware de SMS destacan la importancia del control sobre los cargos potenciales en el contrato telefónico de un usuario".

"Deshabilitar las funciones premium de SMS o al menos establecer un límite anula significativamente el impacto potencial de las campañas de TrojanSMS. Este paso es especialmente importante en los teléfonos de los niños”, sostienen los expertos.