El troyano Swearing sigue activo a pesar de la detención de sus creadores
Noticias de seguridad Según Check Point Software Technologies, el mayor proveedor mundial especializado en seguridad, el troyano bancario Swearing sigue afectando a usuarios chinos a pesar de la detención de sus creadores. Noticias de seguridad
El nombre del malware (en español “blasfemar” o “maldecir”) tiene su origen en los insultos en chino que se han encontrado dentro de su código. Ha infectado a un gran número de usuarios de Android en China, robando sus credenciales bancarias y otra información sensible.
Al igual que otros troyanos bancarios descubiertos anteriormente, Swearing puede robar datos personales y eludir la seguridad de la autenticación de dos factores (2FA). Además, obliga al usuario a introducir su contraseña personal y es capaz de sustituir la aplicación de mensajería original de Android por una fraudulenta, para interceptar los SMS entrantes y hacer que este modo de identificación sea inútil.
Este malware se distribuye gracias a dos métodos de infección:
• “Droppers” que descargan datos maliciosos una vez que el usuario instala en un dispositivo una aplicación infectada.
• Estaciones de telefonía móvil (BTS) falsas que envían mensajes SMS haciéndose pasar por los proveedores chinos de telecomunicaciones China Mobile y China Unicom.
Hay otros tipos de mensajes fraudulentos que el troyano Swearing envía:
• Documentos relacionados con el trabajo: Un falso SMS, supuestamente firmado por un directivo, pide al usuario que descargue y abra un documento importante, y que responda a los comentarios allí incluidos.
• Fotos o vídeos: Un mensaje que incluye una imagen de un cónyuge infiel.
• Notificación de actualización de una aplicación: Un mensaje de un supuesto proveedor de telecomunicaciones o de un banco que pide a la víctima que instale una actualización importante.
El mensaje malicioso convence a los usuarios para que hagan clic en una URL, y a continuación procede a instalar el malware. También se han visto en estos ataques mensajes falsos de personas con las que la víctima puede estar emocionalmente relacionada.
Una vez que la aplicación infectada se instala, y para evitar sospechas, solicita permiso al usuario para desbloquear la pantalla. Después de la instalación, el malware se extiende enviando automáticamente smishing (phising a través de SMS) a los contactos de la víctima.
El troyano Swearing no se comunica con los servidores de mando y control (C&C). En su lugar, manda los datos al cibercriminal a través de SMS o de correo electrónico. Esto permite al malware ocultar sus comunicaciones, y pone trabas a las herramientas de seguridad que intenten rastrear actividades maliciosas.
Aunque Tencent afirma que los responsables del troyano se encuentran bajo custodia policial, los investigadores de Check Point han seguido detectando ataques realizados por Swearing. Es posible que los ciberdelincuentes detenidos formaran parte de una operación mayor para distribuir el malware.
En un informe reciente de Tencent, se menciona que sólo se han utilizado direcciones de correo del servidor 21.cn.com. Sin embargo, investigadores de Check Point han visto que el malware utiliza otros populares proveedores chinos de servicio de correo electrónico, como 163.com, sina.cn y qq.com.
Algunas de estas direcciones utilizan un número de móvil como nombre de usuario. Considerando la inconsistencia entre los números en las direcciones de correo electrónico y los números utilizados en los SMS, pensamos que variantes del troyano Swearing se han utilizado al menos en un par de ocasiones.
Muchos malware móviles descubiertos anteriormente en el mercado chino, como HummingBad, han resultado ser pioneros, y sus formas de infección se han popularizado más tarde en todo el mundo. La distribución del troyano Swearing se ha conseguido utilizar falsas BTS y smishing automático. Es de esperar que el malware occidental adopte pronto estas técnicas para atacar a sus víctimas.
