NUEVA VERSIÓN DEL TROYANO FLUBOT SE HACE PASAR POR APLICACIÓN DE FLASH PLAYER

A pesar de que llevamos algún tiempo sin observar campañas de propagación masiva del troyano FluBot en España, esto no significa que los delincuentes detrás de esta amenazas ya no la estén utilizando más. Al contrario, FluBot ha seguido evolucionando y buscando nuevas víctimas en varios países, tal y como vamos a comprobar a continuación.

Suplantando a Flash Player

En una reciente campaña detectada en Polonia y dirigida a usuarios de ese país se ha observado la utilización de una versión reciente del malware FluBot con algunas características destacables. Lo que no ha cambiado ha sido el método de propagación usado y las tácticas empleadas por los delincuentes para propagar esta amenaza, ya que vemos como los mensajes SMS siguen siendo utilizados como gancho y conseguir que quien los reciba pulse sobre el enlace que adjuntan.

Ejemplo de SMS usado en esta campaña – Fuente: CSIRT KNF

Según los ejemplos proporcionados por el equipo de respuesta ante incidentes de ciberseguridad del sector financiero polaco, en estos mensajes se hace mención a unos vídeos que han sido enviados supuestamente por el usuario que recibe los SMS. Este es el cebo que emplean los delincuentes en esta ocasión para conseguir llamar la atención de sus víctimas y lograr que accedan a la web preparada para esta campaña.

Una vez en esa web, se solicita la descarga de una aplicación a la cual han nombrado como FlashPlayer20.apk. Sorprende que en pleno 2022 se siga utilizando Flash Player como gancho, puesto que es un complemento que ya ha sido completamente abandonado por su desarrollador pero que algunos usuarios siguen asociando con la reproducción de contenido multimedia. De esta forma, si el usuario descarga y ejecuta la aplicación maliciosa podremos ver que se instala como una app más en el sistema, aunque con una finalidad maliciosa.

Descarga e instlación de app maliciosa – Fuente: CSIRT KNF

En esta ocasión, estamos ante la versión 5.2 de FluBot, que habría aparecido hace tan solo unos días y que incluye algunas novedades interesantes además de seguir manteniendo algunas de las características que han hecho popular a esta amenaza, tales como obtener el listado completo de los contactos de la víctima, aprovechar el servicio de Accesibilidad de Android para superponer pantallas y capturar la introducción de credenciales o interceptar mensajes SMS con los códigos de verificación enviados por las entidades bancarias para confirmar la realización de transferencias.

En cuanto a las novedades destacables que se encuentran a partir de la versión 5.0 de FluBot, investigadores de F5 han encontrado que los delincuentes ahora usan 30 dominios de nivel superior en lugar de los 3 usados previamente para sus algoritmos de generación de dominio (DGA). Además, han actualizado los resolutores DNS, permiten la actualización de la semilla DGA de forma remota y también el envío de mensajes SMS más largos usando funciones de división en múltiples partes.

FluBot y su evolución

Aunque esta campaña reciente se haya detectado en Polonia, no sería de extrañar que los delincuentes la extendiesen a otros países (incluyendo España), tal y como han hecho en ocasiones anteriores. Recordemos que, desde el principio, nuestro país ha sido uno de los favoritos de los delincuentes para propagar este malware y otros delincuentes han hecho lo mismo con sus propias variantes. Desde la primera campaña detectada y dirigida a usuarios españoles a mediados de diciembre de 2020, las campañas de FluBot y otros imitadores no dejaron de producirse, especialmente durante la primera mitad de 2021. Especial importancia cobraron las campañas que suplantaban a servicios de logística y envío de paquetes de todo tipo, las cuales consiguieron infectar los dispositivos de decenas de miles de usuarios en España.

Sin embargo, en la segunda mitad de 2021 los delincuentes cambiaron de estrategia y empezamos a ver otras campañas en las que se nos avisaba de un correo de voz o, paradójicamente, se nos mostraba una alerta acerca de una infección con FluBot. Si bien estas campañas no llegaron a tener el éxito de las anteriores, el número de víctimas conseguidas por los delincuentes debe de haber sido lo suficientemente importante como para que sigan desarrollando esta amenaza y la actualicen con nuevas versiones.

Además, no debemos dejar de observar que el método utilizado para la suplantación de las entidades bancarias está bastante conseguido, por lo que es muy probable que aquellos usuarios que resulten infectados no sospechen nada al ver la pantalla superpuesta que pide las credenciales de acceso sobre la original de la aplicación de banca online, ya que los delincuentes han tratado de imitar el estilo de las entidades bancarias suplantadas.

Tampoco debemos olvidar que FluBot también puede robar credenciales de acceso a otras aplicaciones como las carteras de criptomonedas o incluso los accesos a redes sociales y correo electrónico. Esto la convierte en una amenaza de lo más versátil y de la que conviene estar convenientemente protegido.

Conclusión

Que los delincuentes sigan desarrollando una amenaza como FluBot significa que aún pueden conseguir un número importante de víctimas con ella, por lo que conviene estar alerta, evitando pulsar sobre enlaces incrustados en mensajes SMS, emails o chats, bloqueando la descarga de ficheros desconocidos y contando con una solución de seguridad adaptada a las necesidades de los usuarios de Android y que permite la detección y eliminación de este tipo de amenazas.

Enlace a la noticia: https://blogs.protegerse.com/2022/01/10/nueva-version-del-troyano-flubot-se-hace-pasar-por-aplicacion-de-flash-player/

Seguridad en dispositivos Android

Recursos afectados


Android Open Source Project (AOSP):

Versiones 8.1, 9, 10, 11 y 12.

Descripción


El boletín mensual de Android de diciembre de 2021 soluciona varias vulnerabilidades, dos de ellas de severidad crítica que afectan al sistema y podrían permitir la ejecución remota de código y la escalada de privilegios.

Solución


Si en tu empresa utilizas dispositivos con Android, comprueba si el fabricante ha publicado un parche de seguridad y actualízalos. En esta página se indica cómo verificar la versión de Android de tu dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no puedas comprobar la versión de tus dispositivos o la fecha del parche de seguridad, revisa la página del fabricante de tu dispositivo.

Esta es la aplicación que debes instalar si te preocupa que otras apps te rastreen en Android

Buscador web que no deja rastro alguno | DuckDuckGo | Bien explicado |  Alternativa a Google - YouTube

DuckDuckGo cuenta con una función llamada «App Tracking Protection for Android» que, como su nombre indica, bloquea todos los rastreadores de las aplicaciones Android que tengamos instaladas en nuestro smartphone.

En los últimos tiempos estamos viendo como los usuarios de teléfonos inteligentes se preocupan cada vez más por la privacidad y la seguridad de sus datos privados, sobre todo después de las constantes informaciones acerca de las filtraciones de dichos datos. Por esta razón, las dos grandes corporaciones tecnológicas del mundo, Google y Apple están implementando nuevos controles de privacidad en sus respectivos sistemas operativos móvilesAndroid e iOS.

En el caso de Google, la compañía con sede en Mountain View ha incluido en Android 12 un nuevo panel de privacidad que permite a los usuarios reestablecer los identificadores de seguridad para que estos queden reducidos a ceros y, así, dejar de recibir anuncios personalizados. Apple, por su parte, introdujo, hace unos meses, una serie de herramientas de Transparencia de Seguimiento de Aplicaciones en sus iPhone y iPad que impedían que las aplicaciones rastrearan a sus usuarios y que utilizaran sus datos para publicidad personalizada. De hecho, según la compañía con sede en Cupertino, desde que se lanzaron estos nuevos controles de privacidad aplicaciones como Snap, MetaTwitter o YouTube han dejado de ingresar casi 10.000 millones de dólares en publicidad.DuckDuckGo-bloqueo rastreo apps

DuckDuckGo integra en su app para móviles una función que bloquea todos los rastreadores de las aplicaciones

Pero si tienes un móvil Android no puedes confiar en que la misma empresa que controla la publicidad atente contra su propio negocio y, por esta razón, hoy te venimos a hablar de la aplicación que debes instalar si te preocupa que otras apps te rastreen en Android. Sigue leyendo y descubre cual es.

DuckDuckGo es la aplicación que necesitas para bloquear los rastreadores de las apps en Android

DuckDuckGo quiere ser mucho más que un motor de búsqueda privado y un navegador web y, por este motivo, acaba de implementar una nueva funcionalidad en su aplicación para Android llamada «App Tracking Protection for Android» que bloquea todos los rastreadores ocultos de las aplicaciones que tengamos instaladas en nuestro smartphone.

Enlace a la noticia: https://andro4all.com/noticias/apps-android/esta-es-la-aplicacion-que-debes-instalar-si-te-preocupa-que-otras-apps-te-rastreen-en-android

Cuidado si eres Android: descubren en millones de móviles un peligroso virus que retira el dinero de tu cuenta bancaria

Este troyano ya ha infectado a más de diez millones de dispositivos a nivel internacional.

‘GriftHorse’ es un troyano que se instala en los smartphones de manera oculta a través de aplicaciones maliciosas que se obtienen desde Google Play. A pesar de que el equipo de Mountain View ha eliminado dichas apps, todavía se siguen distribuyendo a través de tiendas y repositorios de terceros.

¿Qué quiere decir lo mencionado? Todavía residen en traductores, lectores de códigos QR o mismamente en identificadores de llamadas. Una vez que el malware se queda instalado en el teléfono, se encarga de mostrar notificaciones en ventanas emergentes que informan al usuario de que ha ganado un premio. Al hacer clic sobre el supuesto ‘premio’, el virus se enlaza con una extraña página de verificación en la que se debe introducir el número de móvil.

Además, si la víctima no pica en la primera notificación, esta puede llegar a repetirse hasta cinco veces en una hora. Si los usuarios han caído en la trampa a la hora de registrarse para recibir la recompensa, he de comunicar que han cometido un gran error. El motivo se debe a que en realidad se han suscrito a un servicio de SMS Premium con importe de 36 euros mensuales.

Desde The Register, los investigadores creen que los desarrolladores del troyano ya han ganado cerca de dos millones de euros a través de esta estafa.

Por otro lado, las aplicaciones cuyo código se han visto intervenidas por el troyano están desarrolladas sobre el marco Apache Cordova con programación HTML, CSS o JavaScript, teniendo en cuenta que ofrecen un método sencillo para que se manden notificaciones push a los móviles.

Enlace a la noticia: https://securityonnet.com/wp-admin/post.php?post=758&action=edit

Plan de ayuda: engaño que circula en WhatsApp que también utiliza técnicas de blackhat SEO

Engaño circula vía WhatsApp ofreciendo una supuesta ayuda económica busca también atraer a víctimas mediante un sitio web falso bien posicionado en Google

o ayudas económicos a la población. Y, como ya hemos visto en reiteradas ocasiones, el lanzamiento de estos programas son utilizados por los ciberdelincuentes para engañar a los usuarios con falsas promesas.

Campañas anteriores

Una de las campañas maliciosas que surgió en el último tiempo es muy similar a otro engaño que analizamos hace unos meses y que apuntaba a usuarios de Colombia utilizando como señuelo el nombre del programa “Ingreso Solidario”, el cual está dirigida a usuarios de Colombia. El programa legítimo es ofrecido por el Gobierno de Colombia a ciudadanos en condición de pobreza y/o vulnerabilidad económica para intentar ayudarlos a mitigar el impacto de la pandemia del COVID-19 y tuvo su pico de actividad a fines del año 2020. A comienzos de septiembre observamos una campaña utilizando una estrategia similar para engañar a ciudadanos de México. En este caso la estrategia fue usar como señuelo el nombre de un programa legítimo ofrecido por el gobierno mexicano llamado Acción Social de Apoyo Emergente, cuyo sitio oficial es el siguiente.

Nueva campaña

En este contexto, en los últimos días identificamos una nueva campaña, pero esta vez apuntando a toda Latinoamérica, utilizando imágenes y contenido de programas reales que existen en países como Paraguay o Perú.

Al igual que las anteriores, esta nueva campaña dirigida a la región en general promete una ayuda económica para poblaciones que se hayan visto perjudicadas por la pandemia, particularmente a grupos que no suelen contar con ingresos fijos, como pueden ser amas de casa o estudiantes.

La distribución de esta nueva campaña también es a través de WhatsApp y busca robar datos personales. La víctima recibe un mensaje con un enlace que llega generalmente a través de un contacto conocido, el cual hace referencia a un programa llamado “Plan de Ayuda”.

La campaña también intenta atraer víctimas desde Google

Sin embargo, este no es el único método de propagación que utilizan los operadores detrás de esta campaña. Al colocar en un buscador como Google “Plan de ayuda” encontramos posicionado en el primer resultado un sitio apócrifo con la intención de captar víctimas desprevenidas.

Para comprender cómo los cibercriminales logran posicionar el sitio debemos comprender el criterio que utilizan los buscadores para mostrar sus resultados. Cada página web indexada recibe una “puntuación” por los motores de búsqueda de acuerdo a una enorme cantidad de factores que contempla el algoritmo y determinan la “puntuación” o relevancia del sitio para una búsqueda determinada. En resumen, podemos decir que se basan en cuan fiel o relevante es la página de acuerdo la búsqueda que realiza el usuario. Esta calificación dada, en este caso por el complejo algoritmo de Google, tiene en cuenta factores como: referencias (enlaces) a este sitio en sitios terceros, palabras clave que contiene la página, número de visitas, referencias a otros sitios que el buscador reconoce como confiable, entre muchos otros. Esta puntuación es lo que define el orden asignado para aparecer en la pantalla de búsqueda.

Ahora bien, existen ciertas técnicas para abusar de este mecanismo y mejorar el posicionamiento de un sitio de manera fraudulenta. A estas se las conoce como BlackHat SEO. Particularmente, los atacantes hacen uso de múltiples palabras clave que el buscador asocia a la búsqueda realizada, una técnica conocida como Keyword Stuffing.

Una vez que la víctima accede al sitio, por recibir el enlace de un conocido a través de una red social, app de mensajería o por haber realizado una búsqueda de la frase “Plan de ayuda”, se le solicita completar una encuesta, similar a la ya vista en otras de las campañas fraudulentas mencionadas anteriormente.

En la última pregunta, “¿Cómo se enteró de nosotros?”, se puede observar que existe una opción para indicar que se llegó al sitio malicioso a través de Facebook, lo cual puede significar que cuentan con un tercer método de propagación mediante esta red social.

Luego de esta encuesta se le solicita a la víctima compartir el engaño con sus contactos de WhatsApp, dando a lugar el envío de mensajes, tal como se observa en la Imagen 1.

Una vez que la víctima envía los mensajes, el sitio redirecciona a la víctima por distintos sitios, para luego finalizar en uno informativo, también propiedad de los cibercriminales, en donde se informa que los beneficios serán depositados en las cuentas bancarias sin más detalles. Sin embargo, el engaño no termina aquí: para recibir un beneficio destinado a padres y madres de familia, se debe compartir la misma estafa vía Facebook, lo cual obliga a la víctima a propagar nuevamente el engaño.

Consejos para evitar caer en este engaño

Reiteramos nuestra recomendación de desconfiar de supuestos bonos o beneficios que sean demasiado genéricos, no anunciados por ninguna entidad gubernamental o que nos lleguen por medios no oficiales, como pueden ser mensajes vía redes sociales o WhatsApp.

En segundo lugar, tener presente que el primer resultado que nos ofrece el buscador tras realizar una búsqueda no siempre puede ser el indicado. En caso de buscar más información sobre bonos o beneficios económicos, debemos verificar que la fuente sea confiable. Por ejemplo, que la información esté en sitios gubernamentales o que al menos sea promovida en medios de comunicación de buena reputación.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.welivesecurity.com/la-es/2021/10/04/plan-ayuda-engano-whatsapp-tambien-utiliza-tecnicas-blackhat-seo/

FALSA ACTUALIZACIÓN DE ANDROID USADA COMO CEBO PARA INSTALAR TROYANO BANCARIO

Los troyanos bancarios dirigidos a usuarios de Android no cesan en su empeño de conseguir nuevas víctimas y, para eso, utilizan ganchos de todo tipo. Desde finales del año pasado hemos visto como los mensajes con supuestos envíos de paquetes han protagonizado varias de las campañas de propagación de este tipo de malware que más éxito han tenido en los últimos años, pero, tal y como vamos a ver a continuación, no son la única estrategia que emplean los delincuentes.

Actualización de Android

En anteriores campañas analizadas en este blog hemos visto que se ha usado como excusa para llamar la atención del usuario las actualizaciones de aplicaciones como el navegador, lanzando incluso avisos advirtiendo (paradójicamente) sobre los peligros que supone no disponer de la última versión.

Otro de los ganchos usados durante los últimos meses por los delincuentes ha sido el de la descarga de una nueva versión de Android, algo que hemos vuelto a ver recientemente. Gracias al aviso proporcionado por el investigador MalwareHunterTeam vemos como los delincuentes está utilizando una nueva plantilla donde se nos vuelve a indicar que nuestro sistema Android requiere de una actualización.

Tal y como podemos ver en la imagen anterior, además de ofrecer la descarga de esta supuesta actualización también se nos proporcionan instrucciones acerca de cómo instalar aplicaciones descargadas de orígenes desconocidos en nuestro dispositivo. Este punto es importante ya que, por defecto, Android no deja instalar apps que no se hayan descargado desde una tienda oficial reconocida por Google.

Descarga y ejecución del malware

En el caso de que el usuario pulse sobre el botón de descarga de esta supuesta actualización, se descargará un fichero APK que contiene el instalador de la aplicación maliciosa. Sin embargo, recordemos que la instalación debe realizarse de forma manual por el usuario, por lo que aun habiendo descargado este instalador, el sistema no se infectará a menos que lo ejecutemos.

Ahora bien, si la víctima decide que es buena idea instalar esta aplicación en su dispositivo podemos ver que se identifica como una aplicación bancaria que suplanta la identidad del Banco Santander, tanto en su descripción como en el icono que se muestra en pantalla una vez ha sido instalada en el dispositivo.

Una vez instalada, esta aplicación maliciosa realiza funciones similares a los troyanos bancarios que venimos analizando desde hace tiempo. Entre otras funcionalidades es capaz de mostrar ventanas de alerta, usadas para superponer pantallas de acceso falsas cuando se ejecuta una aplicación bancaria legítima y así poder robar las credenciales.

También dispone de los permisos necesarios para interceptar mensajes SMS, lo que le permite recibir los códigos de verificación que muchos bancos utilizan para confirmar transferencias de dinero desde una cuenta. De esta forma, una vez obtenidas las credenciales bancarias, los delincuentes pueden acceder a la cuenta de la víctima y robar el dinero que tenga guardado en ella sin que este se dé cuenta hasta que consulte de nuevo su saldo.

También dispone de los permisos necesarios para escribir y enviar SMS, por lo que muy probablemente este sea el medio que esté utilizando para propagarse, enviando mensajes con un enlace a la web maliciosa a los contactos del usuario al cual han infectado su smartphone.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/23/falsa-actualizacion-de-android-usada-como-cebo-para-instalar-troyano-bancario/

NUEVAS VARIANTES DE RANSOMWARE MÓVIL

Un reporte de seguridad de Microsoft afirma que los usuarios de smartphones con sistema operativo Android están siendo afectados por una serie de aplicaciones maliciosas que contienen variantes de ransomware para equipos móviles conocidas como AndroidOS MalLocker.B.

La compañía asegura que estas nuevas variantes de ransomware se activan cuando los usuarios instalan aplicaciones engañosas en sus dispositivos y presionan el botón de inicio en el smartphone, por lo que una infección no requiere de mucha colaboración de los usuarios afectados.

Como muchos recordarán, las variantes de ransomware móvil se inyectan usualmente a través de aplicaciones maliciosas o con la descarga de documentos infectados. Una vez instalado en el dispositivo afectado, el software malicioso toma control de la pantalla y muestra la nota de rescate a los usuarios.

Al igual que en otras campañas maliciosas, los operadores de estas variantes de ransomware móvil muestran un mensaje en el que se hacen pasar por una agencia policial o incluso muestran los emblemas del Buró Federal de Investigaciones (FBI), engañando a la víctima sobre la comisión de un supuesto delito y la obligación de pagar una multa. Estos mensajes parecen legítimos, por lo que muchos usuarios suelen caer en la trampa.

Microsoft también explicó que el nuevo ransomware puede abusar de la notificación de llamadas en el smartphone comprometido. Esto permitirá a los hackers mostrar una ventana que cubre las pantallas completas de sus víctimas hasta que el rescate sea pagado. Aunque en algunos foros de ciberseguridad se ha atribuido esta actividad criminal a los operadores del ransomware Conti, la realidad es que no hay certeza sobre su origen.

Finalmente, si bien los operadores de variantes de ransomware convencionales exigen rescates de en promedio 170 mil dólares, los hackers de ransomware móvil suelen ser menos estrictos con sus exigencias económicas, ya que en la mayoría de incidentes exigen apenas unos cientos de dólares. Esto no quiere decir que el problema sea de poco interés para la comunidad de la ciberseguridad, ya que algunas compañías se encuentran desarrollando algunos métodos para la prevención de estas infecciones abordado los principales vectores de ataque, que incluyen fallas de seguridad móvil.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://noticiasseguridad.com/seguridad-movil/microsoft-advierte-a-usuarios-de-android-sobre-nuevas-variantes-de-ransomware-movil/

SMS CON ENTREGAS PENDIENTES DE PAQUETES: UNA ESTRATEGIA QUE LOS DELINCUENTES SIGUEN APROVECHANDO ACTIVAMENTE

Desde el año pasado venimos observando una tendencia a la hora de propagar amenazas en dispositivos móviles Android, siendo numerosas las muestras que han pasado por nuestro laboratorio. Simulando la entrega pendiente de un paquete, los delincuentes tratan de convencer a los usuarios para que proporcionen información personal o instalen una aplicación, algo que puede terminar con la víctima perdiendo importantes cantidades de dinero.

Pago de arancel aduanero

A lo largo de estos últimos meses, este tipo de amenazas se han ido adaptando para tratar de resultar más convincentes, suplantando la identidad de empresas de logísticas reales o, como en el siguiente caso, inventándose el nombre de la empresa. No obstante, el vector de entrada inicial siguen siendo los mensajes SMS donde se indica que hay un paquete pendiente de entrega o recogida.

En algunas ocasiones los delincuentes han llegado a registrar dominios con nombres similares a las empresas de logística suplantadas, pero desde hace ya varios meses la gran mayoría ha optado por aprovechar webs comprometidas previamente para alojar sus webs maliciosas. Tras pulsar el enlace proporcionado en el mensaje SMS, el usuario es redirigido a una web en la que se avisa de una entrega pendiente y se le proporciona información adicional como el pago pendiente o el motivo de la retención del paquete.

Si bien hemos visto como se empleaba una plantilla similar durante otras campañas detectadas durante las últimas semanas, en esta ocasión observamos algún detalle curioso que demuestra que los delincuentes detrás de estas campañas están actualizados. Decimos esto porque en las imágenes anteriores podemos observar como se hace mención a la retención del paquete en un centro de distribución, haciéndose también mención al pago pendiente de un supuesto arancel aduanero.

Esta es precisamente una situación similar a la que se están encontrando muchos compradores online a la hora de realizar pedidos a tiendas fuera de la Unión Europea y que, desde el pasado 1 de julio, han visto como la mayoría de sus pedidos ahora vienen con un recargo adicional por un cambio en la normativa.

Por supuesto, este mensaje no tiene nada que ver con ese pago legítimo, a pesar de que así nos lo quieran presentar, siendo la finalidad de este engaño la de obtener los datos de la tarjeta de crédito de la víctima, tal y como se solicita en la siguiente pantalla.

El robo de los datos de nuestra tarjeta de crédito puede tener consecuencias graves, que van desde la clonación de esta para realizar compras a nuestro nombre hasta la suscripción de servicios online con una tarificación especial que nos irán haciendo cargos periódicamente hasta que logremos cancelar esta suscripción.

Seguimiento de su paquete

En el ejemplo anterior hemos visto como se utiliza el gancho de un paquete pendiente de entrega para conseguir que la víctima proporcione voluntariamente los datos de su tarjeta de crédito. No obstante, este mismo gancho también se viene utilizando desde finales de 2020 para convencer a la víctima para que descargue e instale una supuesta app de seguimiento que en realidad se trata de un troyano bancario.

Es las sucesivas campañas que hemos venido analizando desde entonces hemos visto como se han suplantado todo tipo de empresas de logística, tanto españolas como internacionales, pero todas ellas empezaban con el envío de un mensaje SMS como el que observamos a continuación.

Al pulsar sobre el enlace proporcionado, la víctima es redirigida a una web en la que se utiliza la imagen corporativa de una conocida empresa internacional de logística, junto con un botón para descargar la aplicación y unas instrucciones de instalación de esta app. Resulta curioso ver como las instrucciones de instalación de la app son bastante más escuetas que en ocasiones anteriores, donde se llegaba a mostrar imágenes con todos los pasos a seguir.

El que los delincuentes no hayan puesto tanto esfuerzo en esta ocasión podría deberse a que el kit que están usando no incorpore la plantilla con las instrucciones detalladas. Recordemos que estas campañas y los troyanos que las acompañan suelen venderse entre ciberdelincuentes.

En última instancia, lo que persiguen los delincuentes es que la víctima termine instalando la aplicación maliciosa y esta detecte la instalación de apps bancarias en el dispositivo. Seguidamente, procederá a mostrar una falsa pantalla de registro la próxima vez que el usuario trate de acceder a ver el estado de sus cuentas bancarias para robar así las credenciales, realizando una transferencia de dinero desde su cuenta e interceptando el mensaje SMS de verificación que muchas entidades siguen empleando para confirmar estas operaciones.

Conclusión:

Tras varios meses analizando este tipo de campañas podemos confirmar que algunos delincuentes van adaptándolas para tratar de hacerlas más efectivas, mientras que otros apenas realizan modificaciones puesto que siguen obteniendo víctimas igualmente. Por ese motivo es importante estar atentos a las alertas sobre este tipo de amenazas que empresas de seguridad, organismos oficiales y medios de comunicación realizamos continuamente y contar con una solución antivirus que sea capaz de detectar y eliminar estas amenazas.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/06/sms-con-entregas-pendientes-de-paquetes-una-estrategia-que-los-delincuentes-siguen-aprovechando-activamente/

Vulnerabilidad en los procesadores Qualcomm que afecta a dispositivos Android

Se han descubierto varios fallos de seguridad que afectan a los procesadores Qualcomm utilizados en dispositivos Android. Un atacante podría comprometer la seguridad del terminal de manera remota y realizar distintas actividades maliciosas.

Solución: 

Actualizar el dispositivo afectado con el parche de seguridad que Google publicó el pasado 5 de agosto. Para comprobar si la actualización se instalado de forma automática hay que acceder al menú Ajustes > General > Acerca del teléfono > Información de software. En caso de que no haya sido instalada, de forma automática, y esté pendiente de actualizar se recomienda hacerlo cuanto antes.

Dependiendo del dispositivo y versión de Android instalada en él, los pasos para comprobar si está actualizado pueden variar ligeramente.

En caso de no tener disponible la actualización de seguridad mencionada en este aviso de seguridad, se recomienda contactar directamente con el fabricante para solicitar más información al respecto.

Además, como medidas de seguridad complementarias se recomienda:

  • Mantener actualizado, a la última versión disponible, el sistema operativo y todas las aplicaciones
  • No conectarse a una red wifi pública o cuyos niveles de seguridad no sean los adecuados