Una nueva campaña de difusión de malware está comenzando a hacerse notar en España en las últimas horas. A través de un mensaje de texto, los responsables se hacen pasar por la compañía logística DHL para avisar de la próxima recepción de un envío:
"DHL: Su paquete esta llegando, rastrealo aquí: [página web que simula ser la de la empresa de mensajería]"
Como en la intensa campaña que suplanta a Correos, bajo el pretexto de poder rastrear la llegada del paquete, el SMS nos invita a acceder a una dirección a través de la cual descargar una aplicación para Android. Esta app no es ningún servicio de seguimiento de paquetes, sino un troyano bancario.
La campaña sigue los mismos pasos que siguió la que suplantaba a Correos
After using Correos theme for a month, the actors now use DHL theme too to target Spanish people:
— MalwareHunterTeam (@malwrhunterteam) January 22, 2021
"DHL.apk": cb8d182e01219a2a2cf8e568e48035b2bf568541b6c19a2f825b630217c80951
From: https://dhl-cdn[.]website/index/ -> https://dhl-cdn[.]website/index/DHL.apk@JosepAlbors @danlopgom pic.twitter.com/VVr4IQQZoN
Días atrás, coincidiendo con la última suplantación de la DGT vía correo electrónico, Malware Hunter Team tuiteó que los responsables de la campaña que suplanta a la empresa pública española ahora pretendían usar el nombre de DHL para actuar. Con ese objetivo, tenían en su poder diferentes dominios con los que presumiblemente se iban a hacer pasar por la compañía logística.
La advertencia, lanzada el pasado viernes, no ha tardado en hacerse realidad. Como estamos pudiendo comprobar en redes sociales, están empezando a llegar los SMS que emplean una estrategia prácticamente calcada a la usada en la campaña que suplantaba a Correos.
Si los usuarios caen en la trampa al no sospechar que pueda tratarse de un mensaje de texto que no ha sido enviado realmente por la empresa en cuestión, accederán primeramente a una web con el logo de DHL que explica cómo descargarse la aplicación —al margen de los procedimientos habituales y recomendados— que teóricamente nos permitirá rastrear el envío.
Esta aplicación, como es lógico al tratarse de malware, no está disponible en Google Play y para instalarla es necesario descargar el APK que nos proporciona la web fraudulenta y activar la opción Orígenes desconocidos en Android, como nos explican en unas instrucciones. Algo que no hay que hacer, claro está.
Si en ningún punto del proceso saltan las medidas de seguridad del sistema, el resultado es que nuestro terminal quedará infectado por un troyano bancario que, entre otras acciones según el análisis efectuado por ESET, puede interceptar SMS como los que envía nuestro banco a la hora de iniciar sesión en la banca online, acceder a nuestros contactos o robar credenciales.
Ver 3 comentarios