Hace algún tiempo los ciberdelincuentes utilizaban troyanos SMS para ganar dinero mediante la suscripción de los usuarios a los servicios móviles premium no deseados. Hoy en día, la situación ha cambiado y estos troyanos pueden hacer mucho más daño.

Por ejemplo, un bot SMS Android descubierto por investigadores de Dr. Web puede enviar mensajes de texto a servicios premium, pero también es capaz de comprobar si el dispositivo cuenta con aplicaciones de banca en línea de una serie de entidades financieras, así como los saldos de la cuenta móvil del usuario y su cuenta en un popular sistema de pagos ruso.

El malware es capaz de hacer todo eso, ya que puede enviar mensajes SMS especialmente diseñados para esos servicios, pidiéndoles la información necesaria, luego envía las respuestas al servidor controlado por los delincuentes. Las víctimas no son conscientes de que algo así está ocurriendo, ya que el malware intenta ocultar esas respuestas mediante la desactivación de todas las alertas sonoras y de vibración, y en última instancia, mediante el borrado de esos mensajes.

"Si el usuario tiene el dinero en cualquiera de las cuentas mencionadas, los ciberdelincuentes pueden robar mediante la emisión de una orden apropiada", explicaron los investigadores. "La víctima no se entera del ataque aún justo después de que el crimen se ha cometido, si no un poco más tarde, debido a que el troyanos bloquea todos los mensajes que contienen códigos de confirmación y notificaciones sobre las operaciones financieras".

Actualmente el malware está dirigido a los usuarios de Rusia; parece que los atacantes están utilizando información proporcionada por las victimas a través de anuncios en línea con el fin de engañarlos para instalar el bot.

En un escenario típico, las víctimas reciben un SMS supuestamente enviado por una persona que quiere comprar un artículo que la víctima trató de vender en línea. El mensaje incluye un enlace a un sitio web donde existen más detalles sobre el posible acuerdo que aparentemente describen.

Por desgracia para los que caen por ello, hacer clic en el enlace provoca la descarga del archivo APK perteneciente al troyano (el enlace es inofensivo si la víctima no utiliza un dispositivo Android).

"Android.SmsBot.459.origin se disfraza como una aplicación cliente para un servicio de publicidad web muy conocido en Rusia", los investigadores advierten. "Incluso el icono está tomado desde el programa original, de esta forma una potencial víctima no tendría duda de que está tratando con la plataforma de publicidad auténtica."

Una vez instalado y puesto en marcha, la aplicación falsa tratará de obtener privilegios de administrador para que sea difícil de eliminar. Las víctimas suelen conceder tales derechos ya que la aplicación constantemente lo solicita a través de mensajes, hasta hacer que sea imposible utilizar el dispositivo sin conceder los permisos.

Los investigadores aconsejan a los usuarios evitar abrir enlaces de mensajes SMS dudosos ni instalar aplicaciones descargadas de fuentes no fiables con el fin de protegerse de este tipo de ataques.