Un análisis de los servicios de verificación de cuentas en teléfonos (PVA) a través de SMS ha sacado a la luz una plataforma maliciosa construida sobre una red de bots que involucra a miles de móviles Android infectados, una vez más a través de un SMS como validador de cuentas.
Un servicio clandestino de VPA
Los servicios SMS PVA dan la posibilidad a los usuarios de disponer de números móviles alternativos que pueden utilizar para registrarse en servicios y plataformas online que ayudan a evitar la autentificación basada en SMS y los mecanismos de inicio de sesión únicos.
Sin embargo, hay que tener especial cuidado. “Este tipo de servicio puede ser utilizado por actores malintencionados para registrar cuentas desechables en masa o crear cuentas verificadas por teléfono para realizar fraudes y otras actividades delictivas”, afirman los investigadores de Trend Micro en un informe.
El servicio denominado smspva [.]net está compuesto por teléfonos Android infectados con malware que intercepta SMS. Los investigadores sospechan que los teléfonos móviles podrían haberse infectado de dos maneras. En primer lugar, a través de un malware descargado accidentalmente por los usuarios. En segundo lugar, a través de un software malicioso precargado en los dispositivos Android durante su fabricación, lo que implicaría un compromiso por parte de la cadena de suministro.
Teléfonos afectados: dispositivos Android económicos
Los datos de telemetría recopilados por la empresa desvelan que la mayoría de los dispositivos afectados se ubican en Indonesia (47.357), seguido de Rusia (16.157), Tailandia (11.196), India (8.109), Francia (5.548), Perú (4.915), Marruecos (4822), Sudáfrica (4413), Ucrania (2920) y Malasia (2779). Además, en gran medida son teléfonos Android económicos de fabricantes como Lava, ZTE, Mione, Meizu, Huawei, Oppo y HTC.
Este servicio clandestino anuncia números de teléfono virtuales masivos para su uso en diversas plataformas a través de una API, además de afirmar que están en posesión de números de teléfono que abarcan más de 100 países.
Marcas y modelos afectados
Así es el malware plug.dex
Un malware de guerrilla que está diseñado para analizar los SMS que recibe el teléfono Android afectado. Los compara con patrones de búsqueda específicos que recibe de un servidor remoto para luego filtrar los mensajes que coinciden con dichas expresiones al servidor.
“El malware sigue siendo de bajo perfil, recopilando solo los mensajes de texto que coinciden con la aplicación solicitada para que pueda continuar esta actividad de forma encubierta durante largos períodos”, dijeron los investigadores. “Si el servicio SMS PVA permite a sus clientes acceder a todos los mensajes en los teléfonos infectados, los propietarios notarían rápidamente el problema”.
Las webs autentifican nuevas cuentas mediante la verificación cruzada de la ubicación, es decir, a través de la dirección IP de los usuarios durante el registro. Los servicios SMS PVA sortean esta restricción utilizando servidores proxy residenciales y VPN para conectarse a la plataforma deseada. Además, estos servicios solo venden los códigos de confirmación de un solo uso necesarios en el momento del registro de la cuenta.
El operador de la botnet utiliza multitud de dispositivos comprometidos para recibir, examinar e informar los códigos de verificación de SMS sin el conocimiento y consentimiento de los propietarios. Por consiguiente, la botnet facilita fácil acceso a miles de números móviles en diferentes países, lo que permite a los delincuentes registrar nuevas cuentas en masa y usarlas para varias estafas o incluso participar en acciones coordinadas de usuarios que no son auténticos. En concusión, los investigadores afirman que “la presencia de los servicios SMS PVA hace otra mella en la integridad de la verificación de SMS como medio principal de validación de cuentas”.
Fuente obtenida de: https://www.adslzone.net/noticias/seguridad/sms-posibilidad-infectar-movil-android/
