12 de agosto de 2022

SMSFactory, un malware que mantiene en jaque a millones de usuarios en todo el mundo

Rusia, Brasil, Argentina, Turquía, Ucrania, Estados Unidos, Francia y España, Italia en menor medida a merced de SMSFactory, un malware TrojanSMS que se suscribe en secreto a servicios premium, quitándoles dinero a los usuarios desprevenidos.

Fue descubierto por Avast, un software antivirus desarrollado por la empresa homónima en Praga, el primer programa antivirus que se ejecuta en arquitectura x86-64, el primero también en ofrecer virtualización automática a través de sandbox, disponible a partir de la versión 6, de forma gratuita.

-El daño de SMSFactory una vez instalado

El modus operandi es más o menos similar al de otros programas maliciosos. Todo comenzó con un SMS premium, haciendo llamadas a números de teléfono con tarifa premium. Estos números parecen ser parte de un esquema de conversión, en el que el SMS incluye un número de cuenta, que identifica quién debe recibir el dinero por los mensajes enviados.

Si pasa desapercibido, revela Avast, puede acumular facturas telefónicas elevadas, hasta $ 7 por semana o $ 336 por año, dejando a las víctimas con una sorpresa desagradable: una cuenta agotada.

Según la investigación, el malware se está propagando a través de publicidad maliciosa, notificaciones automáticas y alertas que se muestran en sitios que ofrecen piratería de juegos, contenido para adultos o sitios de transmisión de video gratuitos, que sirven malware disfrazado de aplicaciones donde los usuarios pueden acceder a juegos, videos o contenido para adultos.

Se le solicita al usuario que descargue un archivo creado para parecerse al sitio desde el cual fue redirigido. Una vez que el usuario hace clic en Descargar, se descarga la aplicación maliciosa. Como proviene de una fuente de terceros, el sitio web solicitará al usuario que ignore la advertencia integrada de Play Protect de Android y continúe con la instalación. El daño ya está hecho

Una vez instalado, el usuario es recibido con una pantalla de bienvenida. Hacer clic en Aceptar activará el comportamiento malicioso de la aplicación, que presenta al usuario un menú básico de videos, contenido para adultos y juegos que no funcionan o no están disponibles la mayor parte del tiempo.

SMSFactory utiliza varios trucos para permanecer en el dispositivo de la víctima y no ser detectado. Tiene un icono en blanco y puede ocultar su presencia al usuario eliminando el icono de la aplicación de la pantalla principal. También viene sin el nombre de la aplicación, lo que dificulta que el usuario descubra la aplicación infractora y la elimine. Es evidente que el malware se basa en que el usuario olvide la aplicación en su teléfono. Una vez oculto, SMS Factory se comunica con un dominio preestablecido, enviando una identificación única asignada al dispositivo, su ubicación, número de teléfono, información del operador y