El troyano Faketoken y sus SMS ofensivos

La aplicación de ransomware ahora utiliza dispositivos infectados para enviar mensajes SMS al extranjero a costa de la víctima.

El ingenio de un virus no tiene límites. Algunas aplicaciones de ransomware ahora tienen funciones de minería y algunos troyanos bancarios chantajean a sus víctimas. Faketoken puede parecer un nombre ridículo, pero este troyano bancario para dispositivos Android es un tema muy serio.

Faketoken: de ladrón de SMS a banquero de pleno derecho

El troyano bancario Faketoken lleva mucho tiempo entre nosotros, de hecho, en el 2014 entró en la lista de las 20 amenazas móviles más expandidas. Por aquel entonces, el malware trabajaba en colaboración con troyanos bancarios para ordenador. La aplicación para ordenador hackeaba las cuentas de las víctimas y retiraba dinero y Faketoken interceptaba mensajes de texto con contraseñas de un solo uso para confirmar las transacciones.

En el 2016, Faketoken ya se había convertido en un troyano bancario en toda regla y robaba dinero directamente. El método de actuación era el siguiente: cubría otras aplicaciones con ventanas falsas para engañar a los usuarios y que introdujeran sus nombres de usuario, contraseñas e información bancaria. También funcionaba de forma eficiente como ransomware, bloqueando pantallas de dispositivos infectados y cifrando sus archivos.

En el 2017, Faketoken podía imitar muchas aplicaciones (aplicaciones de bancos, monederos virtuales como Google Play e, incluso, aplicaciones de taxis o para el pago de multas o sanciones) para robar datos de cuentas bancarias.

Un giro inesperado para Faketoken

No hace mucho tiempo, nuestro sistema de vigilancia de actividad de botnet (Botnet Attack Tracking) detectó que unos 5000 smartphones infectados por Faketoken habían comenzado a enviar mensajes de texto ofensivos. Qué extraño, ¿verdad?

La función de SMS es, de hecho, un equipamiento estándar para aplicaciones móviles de malware, muchas de las cuales se distribuyen mediante enlaces de descarga que envían a los contactos de las víctimas. Además, los troyanos bancarios a menudo solicitan convertirse en la aplicación de SMS por defecto, por lo que pueden interceptar mensajes con códigos de confirmación. Pero ¿para qué iba a convertirse el malware bancario en una herramienta de mensajes masivos? Nunca habíamos visto algo similar.

Mensajes de texto al extranjero y a tu costa

Las actividades de mensajería de Faketoken se cargan a los propietarios de dispositivos infectados. Antes de enviar nada, confirma que las cuentas bancarias de las víctimas cuentan con fondos suficientes. Si la cuenta tiene el dinero, entonces el malware utiliza la tarjeta para recargar la cuenta del móvil antes de proceder con los mensajes.

Muchos de los smartphones infectados por Faketoken mensajeaban a un número extranjero, por lo que los mensajes que el troyano enviaba costaban bastante a los usuarios.

Cómo protegerte de Faketoken

Todavía desconocemos si este Faketoken ofensivo es una campaña única o el principio de una tendencia. De momento, para evitar caer en la trampa:

  • Instala únicamente aplicaciones distribuidas por Google Play y utiliza la configuración de tu teléfono para desactivar la descarga de aplicaciones de otros recursos.
  • No accedas a enlaces de mensajes a menos que estés seguro de que son seguros, aunque los mensajes procedan de gente que conoces. Por ejemplo, si alguien que normalmente publica imágenes en las redes sociales o las envía mediante aplicaciones de mensajería instantánea en lugar de mediante mensajes de texto con un enlace, eso puede ser una buena señal de alerta.
  • Instala una solución de seguridad de confianza. Kaspersky Internet Security for Android detecta y bloquea Faketoken además de muchas otras aplicaciones de malware para móvil.
Consejos