Rotexy: un troyano bancario y bloqueador

22 Nov 2018

El malware móvil Rotexy, una combinación entre un troyano bancario y un bloqueador ransomware, ha estado haciendo de las suyas últimamente. Durante agosto y septiembre, nuestros expertos registraron más de 40.000 intentos de implantación de esta aplicación maliciosa en smartphones Android. Después de publicar la información técnica y su historia en Securelist, en este artículo nos encargaremos de explorar las fuentes de infección y cómo eliminarlos de forma gratuita, únicamente con un par de SMS.

Cómo funciona el troyano bancario Rotexy

Rotexy se expande mediante SMS con un texto atractivo que te incita a entrar en un enlace y descargar la aplicación. En algunos casos, estos mensajes se envían desde el número de teléfono de un amigo y esto es lo que termina por convencer a los usuarios que acaban accediendo a los enlaces.

Después de la infección, el troyano se prepara para la siguiente acción. Primero, Rotexy comprueba en qué dispositivo se encuentra para obstaculizar la investigación del antivirus. Si el malware detecta que está en un emulador y no en un smartphone real, ejecuta una y otra vez el proceso de inicialización de la aplicación. En la versión actual de Rotexy, el comportamiento es el mismo si el dispositivo parece estar fuera de Rusia.

Hasta que no se asegura de que el dispositivo cuenta con los criterios básicos, el troyano no comienza a actuar. Primero, solicita derechos de administrador; el usuario puede rechazarlos, pero la solicitud seguirá apareciendo, lo que dificultará el uso del smartphone. Una vez obtenidos los derechos, Rotexy informa de que la aplicación ha fallado y oculta el icono.

Acto seguido, el malware contacta con sus propietarios y les aporta toda la información sobre el dispositivo, los cuales responden con instrucciones y una serie de plantillas y textos. Por defecto, Rotexy se comunica directamente con el servidor de mando y control, pero sus creadores han implementado otras formas de enviar órdenes a través de Google Cloud Messaging y SMS.

Rotexy, el ladrón de SMS

En lo que respecta a los SMS, Rotexy nunca tiene suficiente. Cuando un mensaje llega al teléfono infectado, el malware cambia el dispositivo a modo silencioso para que la víctima no se percate de la entrada de un nuevo SMS. Entonces, el troyano intercepta el mensaje, lo compara con las plantillas recibidas del servidor de comando y control y, si contiene información jugosa (por ejemplo, los últimos dígitos del número de una tarjeta en una notificación del banco), lo almacena y lo envía al servidor. Además, el malware puede responder a esos mensajes en nombre del propietario del smartphone; de hecho, también hay plantillas para estos mensajes de respuesta.

Si Rotexy no llegara a recibir plantillas o instrucciones especiales del servidor de control y mando, simplemente se limitaría a guardar toda la correspondencia que reciba el smartphone y se la enviaría a sus creadores.

Además, tras la orden de los cibercriminales, el malware puede enviar un enlace para descargar él mismo todos los contactos de la agenda del teléfono, uno de los mayores vectores de propagación del troyano Rotexy.

Rotexy, el troyano bancario

La manipulación SMS no es el único truco que se guarda este malware bajo su manga, de hecho, ni siquiera es el número principal. Básicamente, los creadores consiguen dinero robando información de tarjetas bancarias. Para ello, superpone una página de phishing en la pantalla, e incluye textos de los recibidos en los SMS interceptados. La apariencia de la página puede variar, pero el propósito general es comunicarle al propietario del smartphone que tiene una transferencia en espera y que debe de introducir la información de su tarjeta para recibirla.

Para asegurarse, los desarrolladores del malware incorporan un mecanismo de revisión para validar el número de la tarjeta. Primero, verifica que el número de la tarjeta sea correcto (los dígitos de las tarjetas no son aleatorios, sino que se originan según un criterio). Después, Rotexy extrae los últimos cuatro dígitos de la tarjeta del SMS del banco y los compara con los introducidos en la página phishing. Si no concuerdan, le pide al usuario que introduzca los dígitos correctos.

Rotexy, el ransomware

A veces, Rotexy recibe otras instrucciones del servidor de control y mando. Y, en lugar de mostrar una página phishing, bloquea la pantalla del smartphone con una ventana en la que solicita el pago de una multa por haber “visionado de forma habitual vídeos ilegales”.

Rotexy imita la instalación de una actualización y, después, bloquea la pantalla del smartphone y le comunica al usuario que tiene que pagar una multa por visionar vídeos ilegales.

Para ello, adjunta una “prueba” fotográfica, una imagen de un vídeo pornográfico, y se hace pasar por un órgano oficial. En concreto, Rotexy menciona a un supuesto servicio ruso del FSB encargado del control de Internet, pero en Rusia no existe ninguna unidad con ese nombre.

Cómo desbloquear un smartphone infectado con el troyano Rotexy

Tenemos buenas noticias: podemos desbloquear un smartphone infectado y deshacernos del “virus” sin tener que recurrir a un especialista. Como ya hemos mencionado, Rotexy puede recibir órdenes a través de SMS y lo bueno es que no tienen por qué proceder de un número específico, sino que cualquiera puede hacerlo. Por tanto, si tu smartphone está bloqueado y no puedes cerrar la ventana maliciosa, solo tienes que coger otro teléfono (de un amigo o familiar, por ejemplo) y seguir nuestras instrucciones:

  • Envía un SMS a tu número con el texto “393838”. El malware lo interpretará como una orden para cambiar la dirección del servidor de mando y control; abandonará y dejará de obedecer a los ciberdelincuentes.
  • Entonces, envía “3458” a tu número, esto le privará al troyano de los derechos de administrador y cesará el dominio sobre tu dispositivo.
  • Por último, envía un SMS a tu teléfono con el mensaje “stop_blocker”. Esta orden obligará a Rotexy a eliminar el sitio o banner que bloquea la pantalla.
  • Si el troyano volviera a solicitar derechos de administrador, reinicia el dispositivo en modo seguro (aquí te explicamos cómo hacerlo), ve a Aplicaciones y notificaciones (puede variar según la versión de Android) y elimina el malware del dispositivo, esta vez sin resistencia. ¡Eso es todo!

Las instrucciones para desbloquear un smartphone se basan en el análisis de la versión actual de Rotexy, lo cual puede variar en futuras versiones. Si quieres conocer los aspectos más técnicos de este troyano, echa un vistazo al informe publicado en Securelist.

Cómo protegerte contra Rotexy y otros troyanos móviles

Antes de finalizar, nos gustaría recordarte que perderías menos tiempo y te evitarías situaciones estresantes, si simplemente consiguieras que el malware no llegara a entrar en tu smartphone. Evitar la infección no es difícil, solo debes de seguir unas simples reglas: