Detectada una nueva campaña de phishing para Android haciéndose pasar por Correos

Los delincuentes utilizan el supuesto seguimiento de un paquete como gancho para obtener nuevas víctimas entre usuarios españoles. Una de las empresas que más ha sido suplantada por los delincuentes que buscan nuevas víctimas durante este 2020 ha sido Correos. La Sociedad Estatal de Correos y Telegrafos ha visto como se ha utilizado su nombre y logotipos en muchas campañas, desde las protagonizadas por los troyanos bancarios tan recurrentes durante los últimos meses hasta los casos de phishing que buscan robar los datos de las tarjetas de crédito, sin olvidar los mensajes SMS con enlaces a webs fraudulentas.

CORREOS : Tu envio esta en camino: 

https://correos-track.top/XXXXXX

https://correos-apli.com/XXXXXX

http://correos-api.com/ESXXXX/

http://correos-1.com/ESXXXX/

El mensaje no llega enviado por "Correos", sino por un número de particular que comienza por "+34 6". Por ejemplo, nos ha llegado desde números que comenzaban por "+34 628" o por "+34 674", por ejemplo.

Nueva campaña dirigida a usuarios de Android

En las últimas horas se ha detectado una nueva campaña de propagación de código malicioso dirigida a usuarios de smartphones con sistema operativo Android. De nuevo, los investigadores responsables de la cuenta MalwareHunterTeam en Twitter han alertado de la propagación de un mensaje dirigido especialmente a usuarios españoles y que utiliza el logotipo y nombre de Correos España.

Ejemplo de mensaje utilizado como gancho – Fuente: MalwareHunterTeam

En este mensaje podemos observar como se menciona un supuesto número de envío para poder realizar el seguimiento del mismo. Siendo las fechas que son, y más con la situación sanitaria actual, no es de extrañar que muchos de los usuarios que reciban este mensaje estén realmente esperando algún tipo de paquete relacionado con las compras navideñas. Por ese motivo es probable que el uso de esta temática tenga más éxito que otras anteriores como, por ejemplo, la del instalador de Flash Player visto recientemente.

En ese mensaje se menciona la descarga de una aplicación para poder realizar el seguimiento del envío. Este es el gancho utilizado por los delincuentes para tratar de conseguir que los usuarios descarguen malware en sus dispositivos Android. Además, se ofrecen unas instrucciones para la descarga de esta app maliciosa que incluyen activar la opción de instalar aplicaciones desde orígenes desconocidos.

Instrucciones para instalar la app maliciosa – Fuente: MalwareHunterTeam

Estas instrucciones se adjuntan para poder saltarse una de las medidas de seguridad principales con las que cuentan los dispositivos Android, la de evitar instalar apps desde tiendas no oficiales y que pudieran contener código malicioso. SI el usuario permite esta instalación, los delincuentes pueden proporcionar cualquier enlace desde fuera de Google Play para que las futuras víctimas se instalen sus aplicaciones maliciosas. En este caso, se ha detectado que la descarga se realiza desde URLs como  “hxxps://correos[.]icu/correos[.]apk”.

Objetivo de esta aplicación maliciosa

Al descargar esta aplicación y revisarla podemos ver como solicita una serie de permisos que le permiten realizar acciones tales como recibir y leer mensajes SMS y obtener los contactos de nuestra agenda, entre otros. Este tipo de permisos son abusados por una amplia variedad de aplicaciones maliciosas destinadas a dispositivos móviles para, por ejemplo interceptar los mensajes de verificación que envían las entidades bancarias cuando queremos realizar una transacción.

De esta forma pueden, por ejemplo, robar las credenciales de acceso a la banca online cuando se detecta que se está accediendo a una entidad bancaria para, seguidamente, realizar una transferencia a una cuenta controlada por los delincuentes, interceptar el mensaje SMS con el código de verificación y autorizar esta operación sin que la víctima se de cuenta.

Fuente:

https://blogs.protegerse.com/2020/12/23/tu-envio-esta-en-camino-app-maliciosa-suplantando-a-correos-y-dirigida-a-usuarios-espanoles-de-android/