Tras intentar timarte con Correos, DHL y Fedex, ahora tenemos el falso paquete de MRW
Desde el pasado mes de diciembre, un nuevo ataque está afectando a una parte importante de personas en España. Este ataque busca infectar la mayor cantidad de móviles Android posible mediante un troyano bancario llamado Flubot, y su vector de transmisión son los SMS que se hacen pasar por empresas de mensajería. Ahora, ha llegado una nueva oleada de este ataque.
Esta nueva oleada sigue usando el SMS como medio de ataque, con enlaces que redirigen a los usuarios a webs de phishing fraudulentas en las que intentan convencer a los usuarios de que descarguen una aplicación para realizar el seguimiento de un pedido. Sin embargo, en este caso, hay algunos cambios con respecto a ataques anteriores.
SMS haciéndose pasar por empresas de mensajería
Para empezar, tenemos que el mensaje se envía desde un número de teléfono móvil alemán, en lugar de uno español como en ocasiones anteriores. El mensaje alerta al usuario diciéndole que un envío ha sido devuelto dos veces al centro más cercano, seguido de un código de envío. Además, si se pulsa en el enlace falso, ya no aparece Fedex, Correos o DHL, sino que ahora también se hacen pasar por MRW.
El diseño base de la web, eso sí, se mantiene igual, con un mensaje en el que nos explica cómo descargar e instalar una aplicación .apk. Esta aplicación cuenta con el nombre de la empresa que suplantan seguida de un número, el cual les ayuda a identificar la campaña de SMS falsos que están llevando a cabo. La web que usan, en este caso, es una web legítima que ha sido secuestrada y modificada por los atacantes, con lo cual consiguen saltarse algunos mecanismos de bloqueo durante más tiempo para que haya más personas que caigan en la trampa.
Curiosamente, los usuarios de iOS que reciben este SMS, al no poder instalar aplicaciones fuera de la App Store, lo que ven en sus móviles es una página con supuestos premios ofrecidos por Amazon donde lo que se busca es que el usuario introduzca los datos de su tarjeta de crédito.
La app obtiene todos los permisos posibles
Tras instalar la app en Android, ésta pide permisos de Accesibilidad. Con estos permisos, la app puede saltarse el Play Protect de Google, gestionar SMS (enviar mensajes a servicios de SMS premium, por ejemplo), enviar mensajes, y básicamente superponerse sobre cualquier aplicación, pudiendo obtener incluso nuestras contraseñas o datos bancarios si los introducimos. Además, puede crear pantallas de superposición de los principales bancos de España, como Santander, CaixaBank o EVO.
La app, una vez instalada, tiene el icono de MRW, con el nombre de MRW Transporte Urgente, pasando totalmente desapercibida. Sin embargo, la app cuenta con permisos para todo si se le concede el de accesibilidad.
Eliminar el malware no es tarea fácil, ya que es necesario entrar en modo seguro, restaurar el móvil de fábrica, o utilizar ADB desde el ordenador. La nueva versión 3.8 del malware incluye incluso una detección de la herramienta space.linuxct.malninstall, la cual ya no puede usarse para desinstalar el malware. En el caso de que hayas accedido a un banco con ella instalada, es recomendable contactar con el banco lo antes posible para resetear las claves de acceso.
