Dentro de la cada vez más extensa variedad de malware, los troyanos suscriptores son uno de los más peligrosos y sofisticados. Estos troyanos, como «Joker» o la variación más reciente, «Harly» se encargan, entre otras cosas, de suscribir al usuario infectado a servicios de pago, pasando totalmente inadvertidos. De tal modo que incluso si el usuario, al final, detecta unos conceptos extraños de cargo en su factura, reclamará a su compañía y el troyano seguirá haciendo de las suyas. Veamos como ocurre y pongamos algo de luz en todo esto.
Los servicios de tarificación «prémium» o de pago son responsables de muchos de los problemas los consumidores. Las reclamaciones por estos conceptos son innumerables, por encima del 28% y en varias ocasiones, aquí en España, han motivado cambios en la legislación. Los consumidores estamos acostumbrados a las malas prácticas de las operadoras de estos servicios o al menos esa es la sensación que tenemos. Nunca nos planteamos que detrás de estos hechos puede esconderse un malware troyano que se nos ha instalado en nuestro dispositivo móvil y que campa a sus anchas. Darse de baja de estos servicios se convierte en una odisea y tampoco garantiza que no se vuelva a repetir, ya que tenemos al enemigo en casa.
La pregunta inmediata que se nos plantea es, vale de acuerdo, no es la operadora, ni he sido yo al hacer «clic» en alguno de los innumerables anuncios publicitarios que recibo cuando estoy jugando al solitario o al bubble, jewels o candy crash, entonces ¿cómo?. Soy una persona que tengo extremo cuidado con los mensajes que recibo, ya sea por correo o por SMS. Nunca doy a un enlace que desconozco.
Los troyanos suscriptores
Este tipo de estafas han evolucionado desde los primeros tipos de «phishing» o en el caso de los SMS «smishing» – de los que hablaremos en un próximo artículo – que son frecuentemente alertados por el OSI (la oficina de seguridad del internauta). Y es que en el caso de los suscriptores, utilizan un complejo flujo de ataque. Prácticamente, sin la intervención del usuario, son capaces de suscribir a servicios prémium de pago, realizando todo el proceso de forma inadvertida para el usuario y obviamente sin su consentimiento, ¿o sí?.
Por desgracia, es muy común encontrar todo tipo de malware escondido bajo lo que parecen ser aplicaciones inofensivas en la tienda oficial de Google Play. Incluso si la plataforma está cuidadosamente vigilada. Se estima que solo desde 2020, se han encontrado más de 190 aplicaciones infectadas y con una estimación de más de 4,8 millones de descargas.
Estos troyanos se esconden tras imitaciones de aplicaciones legítimas. Los delincuentes descargan aplicaciones ordinarias de Google Play, insertan su código malicioso en una versión de ellas y las suben a la tienda de nuevo como una aplicación nueva, con diferente nombre. Incluso, inicialmente la aplicación es inofensiva. Trata de pasar desapercibida, esperando la aprobación de la plataforma y que las descargas sean numerosas, llegando a falsificar las reseñas y comentarios en la tienda. Es entonces, una vez instalada la aplicación en el dispositivo de la víctima, cuando comienza el ataque. Este puede comenzar con una actualización de la aplicación. Ahora que la suplantación parece consumada, la actualización solicita nuevos permisos que son aceptados sin cuestionarse.
Como trabaja un troyano suscriptor
El troyano ya tiene el campo libre. Básicamente, puede ser del tipo de varias descargas o contener toda la carga útil dentro de la aplicación – como Harly – y usar diferentes métodos para descifrarla y ejecutarla sin ser detectado.
Búsqueda preliminar
Comienzan por una recopilación de información sobre el dispositivo victimizado, principalmente acerca de la red móvil. El troyano cambia el dispositivo a una red móvil, incluso si los datos móviles están desactivados y se estaba empleando la red wifi. Solicita a su servidor de control – servidor C&C –, la lista de las suscripciones a las que debe registrarse. Puede inicialmente verificar el operador de la red móvil mediante los códigos MNC (Mobile country code), ya que suelen estar limitados a determinados operadores móviles.
Servidor C&C, en ocasiones también conocido como C2:
En el campo de la ciberseguridad, la infraestructura de mando y control (Command and control en inglés, usualmente abreviado C&C o C2) consta de servidores y otros elementos que son usados para controlar los malware, tal como las botnet.
Fuente: wikipedia.org
El proceso de suscripción
El troyano, llegado a este punto, abre una de las direcciones (URL) de suscripción en una ventana oculta y tras analizar el código de la página de suscripción, inyecta código JavaScript para realizar la suscripción. Esto incluye, facilitar el número de teléfono de la víctima, simular la pulsación de los botones necesarios e ingresar los códigos de confirmación del mensaje de texto que recibirá del servicio prémium al que intenta suscribirse. El resultado es que el usuario obtiene una suscripción de pago sin darse cuenta.
Cuando la suscripción está protegida mediante una llamada telefónica, la sofisticación de este tipo de troyanos llega, incluso, a efectuar una llamada a un número específico y confirma la suscripción.
Hasta aquí una descripción mínimamente técnica para que pueda ser entendida por todos los lectores. Si desea más información o una información en profundidad sobre la actuación de estos troyanos y los procedimientos de facturación WAP, los códigos OTP (one-time password) o como cancelan los mensajes de notificaciones de la suscripción, como información de costes del servicio, avisos de renovación, etc. el artículo de Microsoft Security es un buen comienzo.
Como protegerse de los troyanos suscriptores
Para el usuario común, el aspecto más importante es como prevenir o protegerse de este tipo de malware. Las tiendas oficiales luchan continuamente contra la propagación del malware, pero como es evidente, no siempre lo consiguen. Las operadoras poco o nada pueden hacer. La legislación vigente autoriza la facturación WAP y existe un procedimiento establecido que todas las compañías legítimas cumplen. Esto facilita al usuario disponer de servicios avanzados, actuales y en desarrollo que pueden ser muy interesantes para los consumidores potenciales finales en una variedad campos como la salud, la información o el ocio.
Cada vez más el usuario debe ser consciente de la tecnología, sus beneficios y sus riesgos. Antes de instalar una aplicación, debe leer las reseñas de otros usuarios, teniendo en cuenta que pueden estar falsificadas, verificar la calificación de Google y sobre todo prestar mucha atención a los permisos que solicita. Los accesos a los mensajes SMS recibidos o enviados, a los contactos, a las llamadas, etc. por parte de una aplicación se deben considerar sospechosos si no están plenamente justificados. Ante la más leve sospecha de que una aplicación está solicitando más permisos de los que necesita, debemos plantearnos si realmente merece la pena el riesgo de instalar dicha aplicación. Tal vez, sería más conveniente buscar otra aplicación similar que no suponga tanto riesgo o mejor aún, plantearnos si realmente la necesitamos.
Si tiene cualquier problema al respecto, no dude en consultarnos, nuestros ingenieros del CNIPJ estarán encantados de prestarle toda la ayuda posible y como proceder en cada caso.
