En las últimas semanas, nuestro círculo de contactos está recibiendo por SMS el siguiente mensaje, muy similar a lo que está ocurriendo con otros de DHL o FedEx
"CORREOS : Tu envio esta en camino: https://correos-track.top/XXXXXXX/"
Como de costumbre, no se trata de una comunicación remitida por Correos, sino por alguna persona o grupo con fines maliciosos. Frente a otras veces, el mensaje no llega enviado por "Correos", sino por un número de particular que comienza por "+34 6". Por ejemplo, nos ha llegado desde números que comenzaban por "+34 628" o por "+34 674", por ejemplo.
El SMS lleva a un enlace que hemos cambiado para no propagarlo incluso más. En la web de destino (que algunos móviles detectan como contenedora de malware), la supuesta Correos nos insta a que para seguir un envío pendiente, descarguemos una aplicación para Android. El problema, claro, es que no descargaremos la aplicación oficial de Correos, sino un archivo apk malicioso, llamado Correos.apk o Correos-3.apk. Aquí el análisis de Virustotal.
Sabiendo que muchas personas no tienen activada la opción de instalar apk de "Orígenes desconocidos", desde la web nos explican todos los pasos a seguir para instalar el archivo con el que nos quieren infectar. Si la seguridad de nuestro móvil es efectiva, al tratar de instalarlo, el sistema nos informará de que no es algo seguro.
El problema real comienza al instalar el archivo apk: luego no podremos desinstalarlo fácilmente
Una vez instalamos esta aplicación, la realidad es la esperable por quien identifique que se trata de malware: no es una aplicación de Correos. En su lugar, se trata de una aplicación que se hará con el control de nuestra agenda de contactos y de los SMS que recibimos, pudiendo abrirlos, leerlos e incluso enviarlos, sin pedirnos permisos para ello, algo inusual. La aplicación, por supuesto tiene acceso a Internet, y también puede realizar llamadas.
De esta forma, además de utilizar todos nuestros datos para tratar de sacar dinero de alguna cuenta o información relevante como contraseñas, los atacantes se hacen con toda nuestra lista de contactos, a los que pueden enviar el SMS para ver si pican en el anzuelo. Así es como la estafa se propaga masivamente.
El problema es que, una vez instalada, el sistema no permite revocar los permisos que el malware se autoconcede, y se convierte en la aplicación predeterminada de mensajes, algo que tampoco hemos podido modificar más tarde en un terminal Huawei.
Cuando intentamos desinstalarla, Android nos dice que no es posible hacerlo, pues se ha instalado con las aplicaciones preinstaladas del sistema, que de serie no pueden desinstalarse. Finalmente, ayudando a un familiar infectado por el apk, pudimos desinstalarla fácilmente mediante ADB en Windows, usando Símbolo de sistema.
Para que funcione, en los ajustes de desarrollador de Android debemos tener habilitada la Depuración USB. Asimismo, Windows y ADB deben reconocer a nuestro dispositivo (el cual nos pedirá permisos) al ejecutar el comando "adb devices" en Símbolo de sistema. Si lo reconoce, tendremos que ejecutar estos comandos, en orden:
- En primer lugar, escribiremos "adb shell" y pulsaremos Enter.
- Tras ello, escribiremos "pm uninstall -k --user 0 com.tencent.mm" y pulsaremos Enter.
Si funciona, la aplicación habrá desaparecido de nuestro terminal.
Ver 19 comentarios