¿Cómo los datos ilimitados de Internet han cambiado el rostro del ciberdelito?


VoLTE: Voice over LTE es un estándar de comunicación inalámbrica de alta velocidad para teléfonos móviles. Tiene hasta tres veces más capacidad de voz y datos que 3G UMTS más antiguo y hasta seis veces más que 2G GSM. Con su mayor capacidad de datos, los usuarios no necesitan usar los datos con mucho criterio y pueden mantener la conexión a Internet en todo momento. Debido a esto, los dispositivos conectados a Internet siempre tienen un mayor riesgo de infección y fraude en línea. Esa es la razón por la que los usuarios que usan VoLTE son el objetivo preferido de los actores de amenazas en todo el mundo. Jio es uno de los operadores móviles que utiliza tecnología VoLTE.

Quick Heal Security Labs ha pasado por múltiples estafas, mensajes falsos y aplicaciones falsas que explotan a los usuarios de Jio en los últimos años. La siguiente imagen muestra las tácticas de los actores de amenazas de 2017.

Figura 01.

Echemos un vistazo en detalle.
2017 – APLICACIONES FALSAS EN GOOGLE PLAY STORE CON EL NOMBRE DE JIO

Figura 02.

Como se muestra en la Fig.02, en 2017, Quick Heal Labs detectó algunas aplicaciones en la tienda Google Play con promesas falsas como «Impulso de velocidad» y «Validez extensor y verificador». Estas aplicaciones atrapan a los usuarios para que proporcionen su información personal y, en segundo plano, envían esta información a algunos sitios web de terceros. Estas aplicaciones consumen una gran cantidad de datos y muestran anuncios al usuario. Quick Heal fue el primero en detectar este tipo de aplicaciones con las variantes de Android.FakeJeo.

2018 – MENSAJES FALSOS DE WHATSAPP SOBRE LAS OFERTAS PRIME DE JIO

Figura 03.

En 2018, se vio el mensaje falso sobre las ofertas de Jio Prime. El mensaje que se muestra en la figura 03 parece legítimo, pero es un mensaje falso. Cuando un usuario hace clic en el enlace mencionado, descarga un falso «Aplicación Jio Prime». Cuando el usuario abre la aplicación, toma un número de móvil aleatorio como entrada. Y, la aplicación finge que está conectada a un servidor, incluso los datos móviles y la conectividad WIFI está apagada.
Le pide al usuario que envíe esta aplicación a 10 grupos de WhatsApp para ganar 50 puntos. Y se requirieron 100 puntos para activar la oferta. Después de hacer todo, el usuario no obtiene nada como se prometió en el mensaje. Los autores de malware utilizan esta táctica para llegar a varios dispositivos en un período corto.

APLICACIONES FALSAS DE JIOCOIN EN GOOGLE PLAYSTORE

Figura 04.

Quick Heal Security Labs encontró aplicaciones falsas de Jio Coin de Google Play Store en el mismo año, como se muestra en la figura 04. Estas aplicaciones solicitan información personal como nombre de usuario, número de teléfono móvil y dirección de correo electrónico y muestran que el usuario está en una cola. para JioCoin. Pero nada pasa.

2019 – FAKE JIO APPS OFRECE DATOS GRATIS PERO SOLO MUESTRA ANUNCIOS

Figura 05.

Nuevamente en 2019, Quick Heal Labs encontró aplicaciones maliciosas que usan el ícono legítimo de la aplicación My JIO. Los ciberdelincuentes utilizaron una táctica de iconos similar para atrapar a los usuarios novatos. Estas aplicaciones tenían actividades similares a las anteriores. Los usuarios que instalen dichas aplicaciones maliciosas no obtendrán las ofertas ni los datos gratuitos que prometieron. Aún así, los autores de malware utilizarán sus dispositivos móviles para generar ingresos publicitarios.

Quick Heal detecta tales aplicaciones en variantes de Android.Fakeapp y Android.GoodNews

2020 – MENSAJES FALSOS DIRIGIDOS A USUARIOS DE JIO PARA DIFUNDIR ADWARE


Figura 06.

En 2020, el coronavirus había afectado gravemente a las personas en todo el mundo. En estos tiempos de pandemia en los que se impuso el bloqueo, la dependencia de las personas de los teléfonos inteligentes había aumentado para entretenerse y mantenerse conectados con el mundo exterior. Aprovechando esta situación, los autores de malware hicieron circular muchos mensajes falsos para atrapar a los usuarios desprevenidos con atractivas ofertas falsas como las mencionadas en la figura 06. El usuario no recibe nada de lo prometido en el mensaje.

2021 – APLICACIONES DE ANDROID DIRIGIDAS A USUARIOS DE JIO

Fig 07. Mensajes de ofertas falsas en 2019.

Fig 08. Mensajes de ofertas falsas en 2020.

Al igual que en años anteriores, también hemos visto aplicaciones maliciosas que afectaron a los usuarios de Jio en 2021. Hemos sido testigos de aplicaciones maliciosas con códigos y programas similares implementados por actores de amenazas en varias plataformas de redes sociales.

En las muestras recientes, los autores de malware utilizaron nuevas formas y temas de explotación. Esta vez hemos analizado algunas aplicaciones maliciosas que se dirigen específicamente a los usuarios de Jio y difunden SMS falsos. Veamos cómo se hace esto.

Cuando la aplicación maliciosa se instala en el dispositivo del usuario, primero realiza la identificación de la SIM para verificar la ranura SIM utilizada para enviar el SMS.

Se realizan las siguientes operaciones para identificar tarjetas SIM:

  • Si se otorga la versión del SDK de Android> = 22 y el permiso READ_PHONE_STATE, obtenga el número de ranura de SIM y el nombre del operador. De lo contrario, traiga los nombres de los operadores correspondientes a las tarjetas SIM del dispositivo actual.
  • Comprueba, si la información obtenida contiene: JIO, AIRTEL, IDEA, VODAFONE o VI.
  • Si alguna de las cadenas anteriores está presente, verifique y devuelva el número de ranura SIM. De lo contrario, devuelve el valor «predeterminado».

Una vez que se realiza la Identificación SIM, identifica a los operadores de los números móviles presentes en la lista de contactos del usuario. Ya que se dirige explícitamente a los usuarios de Jio. Verifica el número de contacto de dos formas.

Como se muestra en la Fig. 09, hay una lista codificada de los primeros cuatro dígitos de números específicos de Jio. Todos los contactos en el móvil del usuario se verifican con esta lista, y los contactos se separan, identificados como operadores JIO en una lista.

Figura 09.

Los contactos restantes no identificados se revisan nuevamente enviándolos a una URL mencionada en la Fig. 10. Los contactos identificados del operador de Jio nuevamente se toman en una lista separada.

Figura 10.

Figura 11.

Se identifica la ranura SIM y los números de contacto de los clientes de Jio se identifican en la lista de contactos del usuario. Los actores de amenazas ahora están enviando spam a los clientes de Jio al trazar varios servicios y temas para atraerlos, como se muestra en la Figura 12.

Figura 12.

Quick Heal detecta dichas aplicaciones con Android.GoodNews.A

CONCLUSIÓN

  • Hemos visto muchos eventos desafortunados en el pasado reciente en los que los actores de amenazas de países específicos están siguiendo activamente las tendencias y los trucos sociales de las plataformas de redes sociales para manipular a sus víctimas y obtener acceso no autorizado.
  • Por ejemplo, el año pasado, India prohibió Tik Tok por motivos de seguridad. Esta fue una excelente oportunidad para que el actor de amenazas manipulara a los usuarios que usaban activamente Tik Tok con mensajes falsos como «descargue la nueva aplicación Tik Tok en funcionamiento gratis» y haga clic para usar el enlace para implementar su programa malicioso en el dispositivo de la víctima.
  • Y sugerimos a los usuarios que no descarguen ninguna aplicación de fuentes de terceros y que nunca hagan clic en ningún enlace sospechoso, incluso recibido de sus contactos. Como se ve en este ataque, los enlaces de descarga maliciosos se envían a través de la lista de contactos existente del usuario.

Uno debería tener AV de confianza como «Quick Heal Mobile Security para Android» para mitigar dichas amenazas y protegerlo de la descarga de aplicaciones maliciosas en su dispositivo móvil.

CONSEJOS PARA MANTENERSE SEGURO

  • No haga clic en enlaces extraños recibidos a través de mensajes o cualquier otra plataforma de redes sociales.
  • Descargue aplicaciones solo de fuentes confiables como Google Play Store.
  • Desactive la instalación desde la opción de fuente desconocida.
  • Lea los mensajes emergentes que recibe del sistema Android antes de Aceptar / Permitir nuevos permisos.
  • Los autores de malware falsifican los nombres, los iconos y los nombres de los desarrolladores de las aplicaciones originales. Por lo tanto, asegúrese de descargar solo aplicaciones simples.
  • Para una mayor protección de su teléfono, utilice siempre un buen antivirus como Seguridad móvil Quick Heal para Android.