El SMSFactory, un troyano que opera en Android, está llegando a los usuarios a través de publicidad maliciosa, notificaciones push y alertas que aparecen en sitios que ofrecen hacks de juegos, contenidos para adultos o sitios de streaming de videos gratuitos, que según investigación de Avast, puede costar a las víctimas 336 dólares al año.
Una vez instalado, el malware disfrazado de una aplicación se oculta a sí mismo, haciendo casi imposible que las víctimas detecten, lo que está causando los cargos en sus facturas telefónicas, ya que se envían SMS premium y se realizan llamadas de tarifa adicional, sin necesidad de que se introduzca el número de teléfono.
“A diferencia de las recientes campañas de TrojanSMS, SMSFactory incluye características de ocultación, como la falta de icono y nombre de la aplicación, que no se permitiría en Google Play Store, por lo que los malos actores han recurrido a una red razonablemente intrincada de sitios para la entrega y posterior comunicación con el malware”.
Algunas versiones del malware, que ha sido detectado en Rusia, Brasil, Argentina, Turquía y Ucrania, redirigen a los usuarios a sitios para que instalen otra aplicación de SMSFactory en su dispositivo.
Jakub Vávra, investigador de Avast, encontró versiones capaces de crear una nueva cuenta de administrador en el dispositivo infectado, lo que hace más difícil su eliminación ya que es puede copiar y extraer las listas de contactos de las víctimas, probablemente para propagar aún más el malware a los contactos.
Cuando el usuario hace clic en “Descargar”, se baja la aplicación maliciosa. Como proviene de una fuente de terceros, el sitio web solicita al usuario que ignore la advertencia Play Protect incorporada de Android y continúe con la instalación. Una vez hecho esto, aparece una pantalla de bienvenida que con dar “Aceptar” activa el comportamiento malicioso.
Los expertos aseguran que el malware se basa en que el usuario olvide la aplicación en su teléfono, pues utiliza varios trucos para pasar desapercibido; tiene un ícono en blanco, puede ocultar su presencia eliminando el ícono de la pantalla de inicio, y además viene sin nombre de aplicación.
“A pesar de su falta de presencia en Play Store, según nuestros datos, hemos protegido a más de 165 mil usuarios de Avast del malware solo en el último año. Como lo demuestra la gran cantidad de usuarios afectados junto con las nuevas versiones que aparecieron recientemente, es justo decir que SMSFactory es un malware activo y es probable que continúe propagándose”.
C$T-GM