Estos correos maliciosos circulan desde hace algunas semanas y en el día de ayer me llegó uno. Simulan ser avisos de WhatsApp sobre supuestos mensajes de voz, si la víctima cree que se trata de algo real puede terminar con su computador o dispositivo móvil infectados.
Pueden llegar desde distintas direcciones de correo, los spammers generalmente aprovechan servidores vulnerables para enviar los mensajes desde allí de forma masiva.
Los asuntos también pueden variar, en este caso al parecer tendría 4 nuevos mensajes de voz 4 New Voicemail(s):
Como se puede apreciar el diseño del mensaje es bastante simple y hasta se ve confiable.
El botón verde de Play enlaza a una página que se encuentra infectada, en realidad es un sitio legítimo que fue comprometido para alojar bajo su dominio los códigos maliciosos. De esta forma los spammers pueden burlar hasta cierto punto los filtros antispam.
Una vez que se hace clic sucede lo interesante y es que dependiendo del equipo de la víctima pueden suceder cosas diferentes.
Por ejemplo, si se accede desde Linux se puede ver un mensaje como el siguiente:
Parece ser un mensaje de error 404, como si la página maliciosa ya hubiese sido eliminada del servidor comprometido, de hecho eso fue lo que pensé la primera vez que la vi. Pero en realidad esta página no está respondiendo con un 404 real, sino con un código 200, es decir que funciona sin problemas.
Si la víctima utilizara Windows, en lugar de mostrarse esta página de error, se iniciaría la descarga de un archivo comprimido con un troyano que cambia de nombre según la IP del equipo. En este caso como me encuentro en Uruguay el archivo se descargó como VoiceMail_Montevideo.zip (16/47 en VirusTotal):
Dentro del archivo comprimido se encuentra un .exe (archivo ejecutable) que con su icono simula ser un archivo de audio (17/46 en VirusTotal). Los usuarios de Windows que tengan la visualización de extensiones desactivada (opción que viene así por defecto) son más susceptibles al engaño ya que no pueden ver a simple vista la extensión real del archivo.
Hasta aquí no hay nada nuevo, pues el uso de redirecciones según el navegador, localización o sistema de las víctimas es una técnica que los ciberdelincuentes utilizan desde hace tiempo. Y las formas de evitar este tipo de engaños son las mismas de siempre… sentido común, es decir tener precaución con los enlaces que recibimos y las descargas que aceptamos, mantener todo actualizado y utilizar un antivirus.
Pero lo nuevo de este ataque es lo que comenta el investigador Gary Warner en su blog… la campaña también está dirigida hacia dispositivos móviles.
Si la víctima abre el correo falso en un dispositivo con Android y hace clic en el enlace de Play pensando que así escuchará los mensajes de voz, se inicia la descarga de un archivo .apk que obviamente no hará cosas buenas en el equipo.
Según estuve leyendo en distintos sitios que ya hablaron de este malware, hay distintas variantes en circulación. Con el enlace que recibí no logré reproducir la infección en un emulador de Android, pero la aplicación .apk que comenta Gary simulaba ser un antivirus que detecta todo tipo de amenazas para finalmente solicitar la tarjeta de crédito por la compra de una supuesta licencia. Se trata de un falso antivirus para móviles, los cuales cada vez más se están poniendo de moda para robar dinero.
Otra variante, comentada en el blog de Trend Micro infecta el dispositivo para luego enviar mensajes de texto a números premium lo cual también les permitiría a los ciberdelincuentes ganar dinero.
Además, otras variantes del ataque también están diseñadas para intentar infectar a los usuarios de iPhone (iOS). Como en Android, al hacer clic se intenta descargar una aplicación maliciosa.
Sano consejo: tener mucho cuidado con los enlaces que se reciben de forma inesperada, no creerse todo de primera y evitar siempre descargar archivos o aplicaciones desde lugares desconocidos. Las descargas más seguras en móviles son las que se realizan desde los markets oficiales y aún así hay que tener cuidado con las aplicaciones que se instalan.
El uso de un buen antivirus si el dispositivo es lo suficientemente potente no es una mala idea, aunque sin buenas prácticas de nuestra parte los antivirus no pueden hacer todo el trabajo.