"Tu envío de Correos está en camino": una estafa en forma de SMS que afecta solo a móviles Android

No es la primera vez que la Sociedad Estatal de Correos y Telégrafos se ve 'implicada' en un caso de estafa virtual; recientemente el Instituto Nacional de ciberseguridad (Incibe) ya advirtió de una campaña de correos fraudulentos cuyo objetivo era robar dinero, utilizando el logo y nombre de Correos. Ahora ha vuelto a ocurrir, aunque a través de mensajes SMS a los móviles, otro modo en el que muchos 'malware' acaban instalados en dispositivos a los cuales luego pueden acceder los ciberdelincuentes que están detrás de estos movimientos. En este caso se trata de una campaña de mensajes en los que, suplantando a Correos, busca instalar en el teléfono una aplicación que permite, entre otras cosas, recibir y leer SMS y obtener contactos de la agenda; sin embargo, tal y como explica el especialista en seguridad y analista de 'malwares' Josep Albors, estos permisos "son abusados por una amplia variedad de aplicaciones maliciosas destinadas a dispositivos móviles para, por ejemplo, interceptar los mensajes de verificación que envían las entidades bancarias cuando queremos realizar una transacción".

Desde el equipo de Malware Hunter Team han advertido, a principios de año, de la propagación de código malicioso a través de un mensaje de texto enviado en nombre de Correos avisando de "un envío en camino". La campaña, dirigida a usuarios españoles, usa la imagen de Correos para avisar de un supuesto envío pendiente a cuya información solo se puede acceder descargando una aplicación; en ellas, tal y como explica el propio Albors, se inlcuye la activación de la "opción de instalar aplicaciones desde orígenes desconocidos".

Con este paso lo que se busca es, precisamente, saltarse una de las medidas de seguridad principales de los dispositivos Android, para frenar la descarga de cualquier 'app' desde tiendas no oficiales. Al activar esta opción, señala el experto, se permite que el ciberdelincuente proporcione cualquier enlace desde fuera de Google Play para que las futuras víctimas se instalen sus aplicaciones maliciosas.

Al instalar la aplicación, ésta solicita una serie de permisos que, abusando de ellos, pueden interferir en información confidencial, como son los mensajes de verificación de las entidades bancarias. Así pues, "pueden robar las credenciales de acceso a la banca 'online' cuando se detecta que se está accediendo a una entidad bancaria para, seguidamente, realizar una transferencia a una cuenta controlada por los delincuentes, interceptar el mensaje SMS con el código de verificación y autorizar esta operación sin que la víctima se de cuenta". Desde el blog del servicio de antivirus ESET señalan que si bien esta aplicación no presenta "novedades destacables" con respecto a otras aplicaciones maliciosas analizadas anteriormente, el uso del nombre y logo de Correos es lo que la diferencia de las demás, al hacer que pueda aumentar su porcentaje de éxito.

Muy difícil de desinstalar

Una vez que se instala la aplicación es cuando uno se da cuenta de que, efectivamente, no es la 'app' oficial de Correos, que sí se puede descargar desde las vías oficiales tanto en Android como en iOS. El problema viene en este punto: tal y como señalan desde Genbeta, el sistema ya no permite revocar los permisos que el 'malware' se autoconcede y se convierte en la aplicación predeterminada de mensajes, al menos en el dispositivo donde han podido realizar la prueba desde la publicación. "Cuando intentamos desinstalarla, Android nos dice que no es posible hacerlo", señalan, porque se ha instalado junto a las aplicaciones preinstaladas del sistema, que no se pueden eliminar.

Desde Genbeta sí han sido capaces de desinstalarlo del terminal, aunque recurriendo a ADB en Windows, con la Depuración USB habilitada en los ajustes de desarrollador de Android. Una vez que Windows y ADB reconocel el dispositivo, se ejecuta un comando y, en caso de reconocerlo, se ejecutan otros dos. Si finalmente funciona la 'app' deberá haber desaparecido del dispositivo. No obstante, siempre con prevención no harán falta estos movimientos: lo mejor es nunca descargar nada fuera de las tiendas oficiales.