La campaña TangleBot subraya la amenaza de los SMS



Una campaña de malware dirigida a dispositivos Android en los Estados Unidos y Canadá con mensajes de texto convincentes y enlaces que conducen a un descargador ha resaltado el peligro del spam y el phishing por SMS, informan expertos en seguridad.

La campaña, denominada TangleBot, utiliza mensajes con temas de coronavirus para convencer a los usuarios de que hagan clic en un enlace, lo que lleva a sitios world-wide-web que intentan recopilar información confidencial de la víctima, según investigadores de la firma de seguridad de correo electrónico y mensajería Cloudmark en un análisis del 23 de septiembre. La campaña sigue a los intentos de los atacantes de utilizar el phishing por SMS, también conocido como smishing, para perpetrar un fraude al seguro de desempleo en los EE. UU.

El trabajo remoto ha facilitado los ataques por SMS para los estafadores de muchas maneras, dice Jacinta Tobin, vicepresidenta de ventas y operaciones globales en la división Cloudmark de Proofpoint.

«Mucha gente trabaja ahora desde casa, y eso, combinado con el hecho de que es relativamente fácil encontrar los números de teléfono celular de los empleados, significa que los ataques de mensajería móvil y smishing están emergiendo como una gran amenaza para las empresas», dice. «Con TangleBot, incluso si solo se infecta el dispositivo de un empleado, un atacante puede lanzar un ataque generalizado o de lanza».

TangleBot fue nombrado por sus «muchos niveles de ofuscación y command sobre una miríada de funciones de dispositivo entrelazadas, incluidos contactos, capacidades de SMS y teléfono, registros de llamadas, acceso a Net, cámara y micrófono», Cloudmark declaró en su análisis. La amenaza permite a los atacantes realizar y bloquear llamadas, enviar y recibir mensajes de texto, colocar superposiciones en la pantalla y grabar audio y movie.

La campaña de phishing es solo una de las tendencias florecientes de phishing por SMS, que aumentó un 256% en la segunda mitad de 2020 en comparación con la primera mitad de ese año, las últimas cifras disponibles, según Tobin.

Los ataques también se han vuelto más personalizados. El phishing por SMS utiliza cada vez más información individual sobre el propietario de un número de teléfono móvil para adaptar los ataques y hacerlos más convincentes. Los anuncios falsos de rifas de Amazon, los reembolsos falsos de AT&T y las notificaciones fraudulentas de entrega de paquetes de FedEx están llegando a los teléfonos de todo el mundo.

A principios de agosto, por ejemplo, la Comisión Federal de Comercio de EE. UU. Advirtió a los estadounidenses que los estafadores se habían embarcado en campañas masivas utilizando notificaciones del seguro de desempleo y solicitudes para que los ciudadanos corrigieran o verificaran su información. El gobierno de EE. UU. No enviará mensajes de texto solicitando información particular, dijo Seena Gressin, abogada de la División de Educación para el Consumidor y las Empresas de la FTC. en una publicación de blog del 4 de agosto.

«Los ladrones de identidad están apuntando a millones de personas en todo el país con mensajes de phishing fraudulentos destinados a robar información personal, beneficios de desempleo o ambos», escribió.

Una maraña de funciones maliciosas
En el caso de TangleBot, una vez que el malware compromete una máquina, el atacante puede monitorear muchas actividades de los usuarios, como los sitios internet que han visitado y las contraseñas que ingresaron, así como grabar audio del micrófono y video de la cámara. TangleBot también utiliza muchos niveles de ofuscación para dificultar el análisis, como colocar código en archivos ocultos, acumular archivos con código no utilizado y eliminar los espacios del código, una técnica conocida como minificación.

«Las capacidades también permiten el robo de considerable información own directamente desde el dispositivo y a través de la cámara y el micrófono, espiando a la víctima», indicó el análisis de Cloudmark. «La recopilación de información own y credenciales de esta manera es extremadamente problemática para los usuarios de dispositivos móviles porque existe un mercado creciente en la internet oscura para datos personales y de cuentas detallados».

TangleBot no aprovecha las fallas del sistema Android, pero diseña socialmente a los usuarios para que hagan clic en varios cuadros de diálogo. Dependiendo de cómo esté configurado el dispositivo Android, será necesario hacer clic en hasta nueve cuadros de diálogo y alertas de seguridad diferentes para completar la instalación del program. Si bien a primera vista una cadena de notificaciones de este tipo parecería suficiente, la experiencia ha demostrado que los usuarios se han acostumbrado a hacer clic en las advertencias.

«Según lo que hemos visto con ataques de malware móviles similares recientemente, como los ataques FluBot que han estado activos en el Reino Unido y Europa, los usuarios tienden a ignorar las múltiples advertencias y permisos y aún así descargar e instalar software program de fuentes no confiables», dijo Proofpoint Tobin dice.

No todos los ataques a las aplicaciones de mensajería requieren tantos pasos. Otros atacantes han encontrado formas de utilizar vulnerabilidades en aplicaciones de mensajería, tanto en teléfonos Apple como Android, para realizar ataques con un solo clic o sin hacer clic, en los que solo recibir un mensaje malicioso o hacer clic en un enlace en un mensaje es suficiente para comprometer el dispositivo. .

Cloudmark recomienda a los usuarios cuestionar todos los mensajes de texto, especialmente aquellos de un número desconocido o que afirman ser una empresa conocida. Además, los usuarios no deben hacer clic en el enlace del mensaje, sino que deben ir directamente al sitio de la supuesta empresa.

Hasta ahora, el ataque TangleBot no ha dado lugar a otro malware, como ransomware o fraude de cuentas, pero Proofpoint espera que los atacantes agreguen funcionalidad. Si bien el aumento del spam por SMS y el phishing puede parecer significativo en los EE. UU., El Reino Unido y la Unión Europea tienen un problema peor, dice Tobin. Un suscriptor del Reino Unido tiene 15 veces más probabilidades de recibir un mensaje sonriente que un suscriptor de EE. UU., Dice.

«Si bien estamos viendo un crecimiento en todas las regiones a nivel mundial, la buena noticia es que los operadores de EE. UU. Han sido mucho más rápidos para asegurar sus redes con tecnología para bloquear estos ataques», dice.



Enlace a la noticia initial