“Tu envío está en camino” App maliciosa suplantando a Correos y dirigida a usuarios españoles de Android

| 23 Dic, 2020 | Ciberamenazas | 11 comentarios

Una de las empresas que más ha sido suplantada por los delincuentes que buscan nuevas víctimas durante este 2020 ha sido Correos. La Sociedad Estatal de Correos y Telegrafos ha visto como se ha utilizado su nombre y logotipos en muchas campañas, desde las protagonizadas por los troyanos bancarios tan recurrentes durante los últimos meses hasta los casos de phishing que buscan robar los datos de las tarjetas de crédito, sin olvidar los mensajes SMS con enlaces a webs fraudulentas.

Nueva campaña dirigida a usuarios de Android

En las últimas horas se ha detectado una nueva campaña de propagación de código malicioso dirigida a usuarios de smartphones con sistema operativo Android. De nuevo, los investigadores responsables de la cuenta MalwareHunterTeam en Twitter han alertado de la propagación de un mensaje dirigido especialmente a usuarios españoles.

Esta campaña está utilizando mensajes SMS para propagarse, de forma que los usuarios reciben esta alerta pensando que realmente se trata de un paquete pendiente de recibir mediante el servicio oficial de Correos

Ejemplo de mensaje con enlace a la web fraudulenta – Fuente: Daniel Lopez

En ese mensaje SMS vemos como se proporciona un enlace para descargar una supuesta aplicación oficial. En el caso de que el usuario pulse sobre ese enlace será redirigido a una web donde se utiliza el nombre y logotipos de Correos España para hacerla más creible. Es en esta web donde se ofrece la descarga de la supuesta aplicación para hacer el seguimiento del envío.

Ejemplo de mensaje utilizado como gancho – Fuente: MalwareHunterTeam

En este mensaje podemos observar como se menciona un supuesto número de envío para poder realizar el seguimiento del mismo. Siendo las fechas que son, y más con la situación sanitaria actual, no es de extrañar que muchos de los usuarios que reciban este mensaje estén realmente esperando algún tipo de paquete relacionado con las compras navideñas. Por ese motivo es probable que el uso de esta temática tenga más éxito que otras anteriores como, por ejemplo, la del instalador de Flash Player visto recientemente.

En ese mensaje se menciona la descarga de una aplicación para poder realizar el seguimiento del envío. Este es el gancho utilizado por los delincuentes para tratar de conseguir que los usuarios descarguen malware en sus dispositivos Android. Además, se ofrecen unas instrucciones para la descarga de esta app maliciosa que incluyen activar la opción de instalar aplicaciones desde orígenes desconocidos.

Instrucciones para instalar la app maliciosa – Fuente: MalwareHunterTeam

Estas instrucciones se adjuntan para poder saltarse una de las medidas de seguridad principales con las que cuentan los dispositivos Android, la de evitar instalar apps desde tiendas no oficiales y que pudieran contener código malicioso. SI el usuario permite esta instalación, los delincuentes pueden proporcionar cualquier enlace desde fuera de Google Play para que las futuras víctimas se instalen sus aplicaciones maliciosas. En este caso, se ha detectado que la descarga se realiza desde URLs como  “hxxps://correos[.]icu/correos[.]apk”.

Objetivo de esta aplicación maliciosa

Al descargar esta aplicación y revisarla podemos ver como solicita una serie de permisos que le permiten realizar acciones tales como recibir y leer mensajes SMS y obtener los contactos de nuestra agenda, entre otros. Este tipo de permisos son abusados por una amplia variedad de aplicaciones maliciosas destinadas a dispositivos móviles para, por ejemplo interceptar los mensajes de verificación que envían las entidades bancarias cuando queremos realizar una transacción.

De esta forma pueden, por ejemplo, robar las credenciales de acceso a la banca online cuando se detecta que se está accediendo a una entidad bancaria para, seguidamente, realizar una transferencia a una cuenta controlada por los delincuentes, interceptar el mensaje SMS con el código de verificación y autorizar esta operación sin que la víctima se de cuenta.

Las soluciones de seguridad de ESET detectan esta amenaza como una variante del troyano Android/Spams.F.

Conclusión

A pesar de que esta aplicación maliciosa no presenta novedades destacables con respecto a muchas otras analizadas recientemente, la utilización del nombre de Correos España en lugar de otras plantillas es posible que haga aumentar su porcentaje de éxito y por eso debemos ir con cuidado, especialmente durante estas fechas en las que los envíos de paquetes son muy elevados.

Josep Albors

Related Posts

Sobre el Autor

Josep

Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.

11 Comentarios
  1. Selu

    Buenas instale la app por error y la e conseguido desinstalar, hay algun problema o al tener la aplicación ya desinstalada no pasa nada? Gracias

  2. Josep Albors

    Hola Selu,

    Te recomendamos que analices tu dispositivo con ESET Mobile Security para descartar posibles restos de la infección y que vigiles tu cuenta bancaria para, ante la deteccíon de cualquier cualquier movimiento de dinero sospechoso, avises a tu banco.

    Saludos.

  3. Fermin

    Hola, pinché en el enlace e instalé la aplicación aunque antes de acabar el proceso me solicitaba datos personales y en ese punto no seguí. No sé si lo he parado a tiempo.He borrado todo y he cambiado contraseñas, además de apagar tarjetas y limitar operativa de banca móvil.

  4. Karla

    Hola. Yo he pinchado en descargar aplicacion y al terminar la descarga me salia un mensaje que mi dispositivo no permitia esa descarga desde webs, algo asi? Y decia cancelar o ajustes. Yo he clicado cancelar no me havpedido permisos de nada. He ido a descargas y he borrado pero no tenia ninguba app descargada.

  5. sara

    Me la e instalado y la borré al poco pero ahora no me deja abrir los mensajes

  6. asdasd

    Esta app no tiene permisos de sistema. lo que hace es detectar cuando nos estamos metiendo en la configuración, y cambiar de pantalla rápidamente antes de que podamos desinstalarla. Si eres rápido cambiando de app y pulsando el OK, puedes llegar a desinstalarla.

    Hace algo parecido cuando intentas quitarle permisos. Cambia rápidamente a su propia aplicación, se pide el permiso otra vez, y puisa el OK ella sola.

  7. Joel

    Hola buenos días, me instale la app de correos y no me deja desintalarla que puedo hacer necesito ayuda rápidamente, cai en la trampa y me acabo de informar por favor me pueden responder rápidamente??? Necesito ayuda

  8. Joel

    Vale ya esta, lo acabo de desintalar, uff con la aplicación de esset mobile, menos mal, porque .e habían hackeado de verdad ya que la aplicación de sms se me quedaba rara como en negro y me traia al desintakar la aplicación de correos que no se puede, y luego analiza archivos con esset mobile, y traia trojan sms y varios archivos y los eliminé

  9. Jose

    Hola yo he pulsado y me enviaba a una supuesta tarjeta regalo. Estaba claro que era estafa así que no he pinchado nada mas. Me he librado o solo por haber dado al enlace del sms ya la he liado?

  10. Josep Albors

    Hola Jose,

    Mientras no hayas instalado la aplicación en tu dispositivo Android puedes estar tranquilo.

  11. Eva

    Hola, se instaló y derivó en sms máximos, avisamos al banco, y a la empresa de telefonía pero aún así nos cobraron por tres días de sms (cada minuto uno) un dineral, lo reclamamos pq habíamos avisado para q restrigeran los sms y nos lo van a devolver ( aún no)..hoy nos dicen algunos contactos que están recibiendo sms con sus nombres,será q nos robaron los contactos y los están usando ? Me cobrarán esos sms aún desactivado la opción d enviar?..o solo están usando la agenda de contactos robada?..Q impotencia el no saber q hacer…Si nos puedes ayudar..muchas gracias

Comentar

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..