SmsSpy Malware

La campaña de smishing llevada a cabo por el grupo de hackers Roaming Mantis aún está en evolución. Los objetivos principales de la operación han sido usuarios de países asiáticos, pero ahora los piratas informáticos han implementado un nuevo malware llamado SmsSpy que está diseñado para infectar específicamente a usuarios japoneses. El objetivo principal de la cepa de malware es recopilar números de teléfono y mensajes SMS de los dispositivos Android comprometidos. La amenaza es capaz de implementar dos versiones diferentes, dependiendo de la versión del sistema operativo Android del usuario, lo que genera un aumento sustancial de víctimas potenciales.

Vector de compromiso inicial

El ataque comienza con mensajes SMS de phishing que llevan a los usuarios a una página web dañada. El texto exacto del mensaje falso puede variar ya que los ciberdelincuentes podrían pretender ser una empresa de logística que necesita la confirmación de algún servicio por parte del usuario. En otro escenario, supuestamente se advierte a los usuarios sobre problemas con su cuenta de bitcoin y se les indica que sigan el enlace proporcionado para verificar su información de inicio de sesión.

La página de phishing luego buscará la versión de Android del dispositivo del usuario para determinar los siguientes pasos del ataque. En dispositivos con sistema operativo Android 10 o posterior, la amenaza de malware se implementará como una aplicación falsa de Google Play. En el caso de dispositivos que utilicen Android 9 o versiones anteriores, se descargará una aplicación de Chrome falsa.

La amenazadora funcionalidad de SmsSpy

Una vez instalada, la aplicación dañina solicitará que se configure como la aplicación de mensajería predeterminada para que el dispositivo obtenga acceso a los contactos y mensajes SMS de la víctima. La pantalla de notificación que se muestra al usuario coincide con la versión de la aplicación que se ha descargado. La variante de Google Play se hace pasar por un servicio de seguridad que supuestamente proporcionará protección contra virus, software espía, antiphishing y correo no deseado. En cuanto a la aplicación falsa de Chrome, advierte a los usuarios que no aceptar sus solicitudes de permisos podría llevar a que la aplicación no pueda iniciar o limitar sus funciones.

Posteriormente, SmsSpy ocultará su icono e intentará establecer comunicación con su servidor de Comando y Control a través de una comunicación WebSocket. La dirección predeterminada está incrustada en el código del malware, pero también tiene información de enlace que se activa cada vez que se necesita actualizar la ubicación del servidor C2. Los servidores C2 generalmente están ocultos en la página de perfil de usuario de un servicio de blog, pero también se ha observado que algunos ejemplos utilizan un servicio de documentos en línea chino para el mismo propósito.

Durante el apretón de manos inicial, el malware SmsSpy envía detalles del sistema sobre el dispositivo infectado, incluida la versión del sistema operativo Android, el número de teléfono, el modelo del dispositivo, una identificación única del dispositivo y el tipo de conexión a Internet. La amenaza entrará en un modo de escucha, donde permanecerá inactiva mientras espera los comandos entrantes. Los atacantes pueden filtrar toda la libreta de contactos y los mensajes SMS, enviar y eliminar mensajes SMS y más.