Piratas informáticos chinos lograron llevar a nuevos niveles el ataque de Smishing. El truco consta en usar falsas torres de teléfono movil para distribuir malware bancario de Android mediante SMS falsificados.

Cyberdelincuentes propagan troyanos bancarios en Android

SMiShing: Ataques phishing enviados vía SMS. Los estafadores usan el ataque de falsificación de números para enviar mensajes falsos que buscan engañar al usuario para que descargue malware en sus teléfonos inteligentes.

Investigadores de seguridad de Check Point Software Technologies descubieron que cyberdelincuentes chinos están usando estaciones falsas base (BTS towers) para distribuir ?Swearing Trojan?, un malware bancario Android que una vez apareció neutralizado después de que sus autores fueran arrestados en una incursión policial.

Este es el primer caso en el mundo real en el que los delincuentes jugaban inteligentemente de tal manera que utilizaban BTS ? un equipo que normalmente se instala en torres de teléfonos celulares ? para propagar malware.

El SMS de phishing, que se disfraza como el que proviene de los proveedores chinos de servicios de telecomunicaciones China Mobile y China Unicom, contiene texto muy convincente con un enlace para descargar Android malicioso APK.

Dado que Google Play Store está bloqueado en China, el SMS facilita a los usuarios que instalen el APK desde una fuente no fiable.

?El uso de un BTS para enviar mensajes falsos es bastante sofisticado y el contenido de SMS es muy engañoso. El mensaje engaña a los usuarios a hacer clic en una URL malintencionada que instala malware?, dijeron los investigadores en la entrada del blog.


Una vez instalado, el malware de Swearing se distribuye enviando mensajes de phishing automáticos a los contactos de la víctima.

Sin embargo, el alcance máximo de una antena BTS puede ser tan baja como 10-22 millas, la técnica es muy exitosa y sofisticada en ataques dirigidos.

Descubierto el año pasado por investigadores de Tencent Security, el troyano Swearing tiene la capacidad de robar credenciales bancarias y otra información sensible de dispositivos Android y pasar por alto la autenticación de dos factores mediante la sustitución de la aplicación legitima SMS de un usuario con una versión malintencionada que intercepta mensajes SMS entrantes.

Para evitar la detección de cualquier actividad maliciosa, el troyano Swearing no se conecta a ningún servidor de control y control remoto (C & C). En su lugar, utiliza SMS o correos electrónicos para enviar datos robados a los hackers.

?Esto proporciona al malware una buena cobertura para sus comunicaciones y dificulta los intentos de rastrear cualquier actividad maliciosa?.


Aunque esta campaña de malware en particular se ha dirigido a usuarios chinos, investigadores de Check Point advierten que la amenaza puede propagarse rápidamente en todo el mundo cuando sea adoptada por el malware occidental.

El esquema de malware parece ser más grande de lo que se pensaba, ya que según los investigadores, sólo las direcciones de correo electrónico 21cn.com se utilizaron en la campaña inicial de malware, mientras que los nuevos ataques usaron otros proveedores populares de correo electrónico chino, como 163.com, sina.cn , Y qq.com, y Alibaba Cloud y otras cuentas de correo electrónico alojadas en el servicio de nube también.

Check Point también señala el desagradable troyano de malware de HummingBad que también fue descubierto en el mercado móvil chino, y ?resultó ser las aves tempranas que continuaron propagándose por todo el mundo? si fueron adoptadas por el malware occidental.