El nombre de este malware es SMSFactory. Fue la empresa de seguridad Avast la que ha descubierto esta campaña de malware y de la que dicen que está muy extendida. Se basa en el malware TrojanSMS.
SMSFactory desvía de una forma muy sigilosa el dinero de las víctimas de todo el mundo, incluyendo Rusia, Brasil, Argentina, Turquía, Ucrania, Estados Unidos, Francia y España, entre otros, mediante el envío de SMS premium y la realización de llamadas a números de teléfono de tarificación adicional.
-Cualquier persona puede gastar hasta 7 dólares a la semana
Sin ser detectado, puede ir acumulando, poco a poco, una elevada factura telefónica, de hasta 7 dólares a la semana o 336 dólares al año. Y es que el usuario al mandar estos SMS premium que no sabe que envía, le van cobrando. Otra de las versiones que se han descubierto también es capaz de extraer las listas de contactos de las víctimas, lo que probablemente se esté usando para propagar aún más el malware.
Lo que ha descubierto Avast es que el malware se está propagando a través de publicidad, las notificaciones push y las alertas que se muestran en sitios que ofrecen hacks de juegos, contenido para adultos o sitios de streaming de vídeo gratuito o torrents. Esto se llama malvertising o publicidad maliciosa, «pero también puede aparecer ocasionalmente en sitios convencionales».
Tras esto, el malware aparece como una aplicación en la que los usuarios pueden acceder a juegos, vídeos o contenido para adultos. Una vez instalado, el malware se oculta y esto hace casi imposible que las víctimas detecten la causa de los cargos en sus facturas telefónicas.
-¿Cómo podemos descargarlo?
Todo comienza cuando este malware pide al usuario que descargue un archivo que se asemeja al sitio desde el que fue redirigido. Puede tratarse, por ejemplo, de una aplicación de copias de juegos sin copyright, una aplicación de contenido para adultos, una aplicación de transmisión de vídeo gratuita o algo similar.
Una vez que el usuario hace clic en Download, se descarga la aplicación maliciosa. Como proviene de una fuente de terceros, el sitio web pide al usuario que ignore la advertencia incorporada de Play Protect de Android y siga adelante con la instalación.