Los cibercriminales se han hecho al hábito de utilizar fechas conmemorativas y eventos puntuales para promocionar sus engaños en la web. Del mismo modo que ocurrió recientemente con las amenazas del Día de los Enamorados, otras aplicaciones móviles utilizaron el Día Internacional de la Mujer, que se celebra cada 8 de marzo, para disfrazar comportamientos fraudulentos como el envío de mensajes de texto a números Premium, servicios que pueden traducirse en altos costos económicos para sus víctimas si no se detectan y detienen a tiempo.
Troyanos SMS que buscan engañarte
Un ejemplo de este comportamiento es la muestra que analizaremos a continuación. Esta variante de troyano SMS detectada por los productos de ESET como Android/TrojanSMS.Agent.BFK circula por la web desde mediados de 2015 y aparentemente es de origen vietnamita. Una vez que se ha instalado, la aplicación ofrece una sucesión de plantillas predeterminadas para mensajes SMS con felicitaciones en conmemoración del Día de la Mujer.
Cuando el usuario intenta compartir uno de los mensajes predeterminados con sus contactos, se envía desde su dispositivo un SMS a un número Premium perteneciente al creador de la aplicación, el cual contiene un determinado texto preestablecido en su código. De este modo, el desarrollador puede recolectar las ganancias producidas por sus creaciones.
Afortunadamente, en este caso el mensaje de texto enviado al número Premium no se elimina del historial de mensajes, con lo que incluso un usuario despistado puede verlos en su bandeja de salida y darse cuenta de los gastos en los que incurre por utilizar esta aplicación.
Por desgracia, este tipo de engaños que utilizan eventos populares para confundir a los usuarios y así lograr mayor cantidad de instalaciones es cada vez más común. Fuimos testigos de situaciones similares cuando reportamos múltiples apps falsas que simulaban ser Pokémon GO o cuando cibercriminales lograron subir falsas versiones de Dubsmash en la Play Store durante el pleno auge de esta aplicación.
Por ello, desde el Laboratorio de Investigación de ESET Latinoamérica recomendamos que prestes especial atención a las aplicaciones que instalas durante eventos festivos, especialmente cuando explícitamente requieren permisos que pueden traducirse en pérdidas económicas o recolección indebida de datos. Recuerda siempre descargar e instalar aplicaciones desde tiendas oficiales, rever los permisos que estas exigen y determinar si se condicen con su funcionalidad, evaluar la calidad del desarrollador y contar con una buena solución de seguridad móvil que detecte cualquier código malicioso que se descargue al equipo.
También te aconsejamos que estés atento a cualquier correo de phishing que pueda llegarte durante estas fechas con supuestos descuentos para regalos demasiado buenos para ser verdad o falsas promociones que se propaguen vía WhatsApp u otras redes sociales. En la medida de lo posible, advierte a tus allegados sobre esta modalidad de engaños para que podamos pasar un buen Día Internacional de la Mujer, disfrutando más seguros de la tecnología.
Sigue leyendo: ¿A qué peligros se enfrentan los usuarios móviles en la Web?
