Nueva campaña de malware en Facebook con WhatsApp como gancho
Investigadores de Panda han descubierto una campaña de publicidad maliciosa en Facebook, que redirige a sus victimas a una falsa versión de Google Play para la descarga de supuestas utilidades para WhatsApp, pero que realmente son troyanos que suscriben a un servicio SMS premium.
Aprovechando el tirón de WhatsApp, en especial tras el anuncio de compra por parte de Facebook, los cibercriminales han decidido emplear la popularidad de ambos servicios para el despliegue de un nuevo ataque masivo a usuarios de Android. Investigadores de Panda Security son quienes han destapado esta campaña de publicidad maliciosa que, valiéndose de la publicación de falsas utilidades para WhatsApp en la red social intenta engañar a los usuarios. Luis Corrons, director técnico de PandaLabs en Panda Security, puntualiza que “se muestra únicamente a visitantes de Facebook españoles que acceden a la red social a través del navegador de su móvil Android”.
Según Panda Security, cuando un usuario accede a Facebook a través de su móvil Android encuentra diferentes mensajes bajo el título de “Publicación sugerida”, animando descargarse aplicaciones gratuitas que permiten, desde ver las conversaciones de sus amigos en WhatsApp, a ocultar la conexión a la app de mensajería. Cuando la víctima pincha sobre alguno de estos anuncios, es redirigida directamente a una falsa versión de Google Play, desde donde se descargará una aplicación que, en realidad, se trata de un troyano que le suscribirá a un servicio de SMS Premium sin su conocimiento.
Corrons señala que el troyano monitoriza todos los mensajes SMS recibidos en el teléfono, y si el remitente es el número del servicio de SMS Premium lo interceptará y eliminará para que no quede rastro. Este sistema no funciona si el terminal dispone de Android la 4.4, en cuyo caso, al recibir el mensaje, el volumen del teléfono se silencia durante dos segundos y, a continuación, se marca como leído en la bandeja de entrada. La aplicación incluye un contador de SMS, así, cuando llega el primer mensaje del servicio SMS Premium, puede leerlo para obtener el PIN necesario, registrándolo en la página web correspondiente de confirmación para activar el servicio de mensajes de pago. El troyano elimina, además, cualquier mensaje cuyo remitente sea el número 22365, excluyendo así a un posible competidor.
