Español | English
rss facebook linkedin Twitter

Nueva campaña SpyEye + complemento móvil

Hace ya más de un año que vimos por primera vez cómo ZeuS incorporaba un componente móvil para tratar de robar el SMS enviado por nuestro bando al realizar una transferencia. Más adelante fue SpyEye el que incorporaba esta misma técnica.

Estos días se ha podido ver una nueva campaña afectando a entidades españolas, en las que se insta al usuario a instalar un componente si su teléfono es Android. Si bien las primeras muestras eran para Symbian y BlackBerry, las siguientes incorporaban Android entre sus objetivos, y es que el uso generalizado de esta plataforma, junto con la facilidad para desarrollar aplicaciones para la misma, han hecho que se convierta en uno de los objetivos favorito de los creadores de malware.

La infección del terminal móvil no es trivial, por lo que se trata de engañar al usuario para que sea él mismo quien infecte el móvil, utilizando para ello la ingeniería social. Es por este motivo que es muy importante que se conozca la amenaza, ya que un usuario que no es consciente de que su móvil puede ser infectado es totalmente vulnerable a este ataque.

En el caso que nos ocupa, al visitar la página de la entidad bancaria, un ordenador infectado tratará de convencer al usuario para que instale una aplicación en el móvil haciéndole creer que está instalando un programa para asegurar las comunicaciones.


Se procede a la verificación de la instalación, pidiendo un número que el móvil enseñará nada más instalarse



Por último, se mostrará el mensaje de instalación satisfactoria.

Si el móvil no es Android, el SpyEye simplemente nos dirá que no necesitamos más seguridad.

A pesar de que muchas veces hayamos podido oir el mal utilizado término "SpyEye para Android", debemos aclarar que el componente que infecta el móvil no se trata de una versión de SpyEye para el mismo, ya que no es capaz de interceptar la navegación en la banca electrónica ni nada parecido. Se trata una aplicación muy simple, pero capaz de reenviar los SMS recibidos a un servidor externo mediante una sencilla petición GET, con los datos como parámetros. Se trata de un mero complemento totalmente ajeno al malware que infecta el PC y que podría ser utilizado indistintamente por cualquier troyano bancario.

Como ejemplo de la simpilicidad de la aplicación, decir que el cifrado de la cadena de caracteres referente al servidor de envío de los SMS consiste únicamente en intercalar valores "=", "-" y "q", tal y como se puede ver en el siguiente ejemplo, muy similar a la URI original.


Por lo tanto, nos encontramos ante una nueva campaña de infección que realmente no tiene nada nuevo desde el punto de vista técnico, pero debemos recalcar la importancia de que la gente vaya conociendo este tipo de amenazas para evitar caer en el engaño.

Mikel Gastesi
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login