El troyano tras la estafa del SMS de FedEx, analizado a fondo: así funciona y así puedes eliminarlo

En las últimas horas se está disparando el número de afectados por la estafa de los SMS. Se trata de uno de los troyanos más peligrosos y sofisticados en la historia de Android, con un comportamiento agresivo, capaz de controlar el dispositivo prácticamente al completo.

Hemos instalado la aplicación falsa de FedEx para comprobar cómo funciona y qué hace exactamente. Para entender aún mejor el funcionamiento técnico de la app hemos contado con la ayuda de Linuxct, desarrollador experto en este campo. Ya te adelantamos que es peor incluso de los que podríamos imaginar en primera instancia, ya que tiene comportamientos que no son habituales ni siquiera en estos casos de malware.

Un SMS, así empieza todo

El proceso de la estafa del paquete por recoger comienza con un SMS. Llega a tu teléfono, desde un teléfono español y con tu nombre. Puede llegar tanto a un iPhone como a un Android, aunque los mecanismos que emplea en cada sistema operativo es distinto, afectando solo a Android.

El contenido de este SMS es un texto que nos indica que tenemos un paquete por recoger y que, para hacerlo, necesitan nuestros datos. En dicho texto hay un enlace que lleva a una página web que simula la página de FedEx, en el caso de Android. En iOS no se pueden instalar archivos de terceros de forma tan sencilla, por lo que nos salta publicidad y webs falsas que simulan un sorteo de un iPhone. Volviendo a la interfaz que se muestra en Android, esta web tan solo tiene un botón para descargar un archivo APK, el responsable de todo esto.

Este archivo recibe el nombre de FedEx.apk, y tiene un peso de entre 3,8 y 5,8 megas, según la versión que instalemos. La app va cambiando continuamente, por lo que estas cifras pueden variar. Actualmente, en el momento que descargamos el APK, Google nos avisa de que puede ser una app maliciosa y, de hecho, está registrada ya en Google Play Protect, el servicio de protección que tiene Google para que no descarguemos malware. A pesar de que Google tiene constancia de que es un archivo malicioso, se puede instalar en Android si le damos a aceptar.

Antes de instalarla saltan unas cuantas alarmas. En primer lugar, como hemos adelantado, Google Play Protect nos avisa de que puede ser una app dañina. En segundo lugar, nada más abrir la app nos indica que necesita controles de accesibilidad para funcionar y, por último, pide controles completos del dispositivo. Permisos especiales que no tendría por qué pedir y que le darán control sobre nuestro móvil.

Así es el APK que controla por completo el teléfono

Lo primero que hace la app es mostrar un panel en el que nos indica que hay que activar el servicio de accesibilidad para usar FedEx. Si le damos aceptar, se abrirá el menú de accesibilidad de Android (ruta manual ajustes/accesibilidad).

Si le damos permisos de accesibilidad, la app tendrá control completo sobre el dispositivo. Podrá ver lo que hay en la pantalla, realizar pulsaciones sobre la misma y autoconcederse permisos

Una vez en este punto, Android nos describe qué permite el permiso de accesibilidad. En este caso hablamos de un permiso de control total sobre el dispositivo. De hecho, literalmente el mensaje reza "¿Quieres permitir que FedEx pueda controlar totalmente tu dispositivo?". En caso de aceptar, la aplicación es capaz de realizar dos puntos clave.

  • Ver y controlar la pantalla: la app es capaz de leer todos los contenidos de la pantalla y mostrar contenidos sobre otras aplicaciones. Es decir, puede leer todas tus contraseñas, mensajes, contactos y contenido de tu teléfono.
  • Ver y realizar acciones: la app puede registrar las interacciones con el teléfono, aunque vengan de sensores de hardware, así como interactuar con otras aplicaciones en nuestro nombre.

Para que te hagas una idea del calado que tiene dar control total a una aplicación (la cual es capaz de actuar por sí misma sobre los ajustes del sistema), estos son algunos de los permisos clave a los que tiene acceso, como refleja el análisis del archivo APK en Virustotal.

PERMISOS

SMS

android.permission.SENDSMS
android.permission.WRITE
SMS
android.permission.RECEIVE_SMS

TELÉFONO

android.permission.READPHONESTATE
android.permission.CALL_PHONE

CONTACTOS

android.permission.READ_CONTACTS

CONEXIONES

android.permission.NFC
android.permission.INTERNET

FUNCIONAMIENTO EN SEGUNDO PLANO

android.permission.REQUESTIGNOREBATTERY_OPTIMIZATIONS

La traducción de estos permisos es que, una vez le damos permiso de accesibilidad, la aplicación se autoconcede permisos mediante un proceso conocido como tap-jacking, que abusa de dicho permiso de accesibilidad para registrar toques en la pantalla mediante software. Así, es capaz de darse permisos ella sola para:

  • Leer registro de llamadas
  • Leer y enviar SMS
  • Leer tu libreta de contactos
  • Leer estado del teléfono (en llamada, conectado a la red de datos móviles, identidad del teléfono, etc.)
  • Mantenerse activa en segundo plano y desactivar optimizaciones de batería
  • Leer todo el contenido de tu pantalla y las aplicaciones en ejecución
  • Ver que aplicaciones tiene instaladas el usuario
  • Desinstalar aplicaciones en nombre del usuario
  • Leer datos del portapapeles

Como podemos ver, la app es capaz de escribir, enviar y recibir SMS, acceder a nuestros contactos, realizar llamadas, conectarse a internet y funcionar en segundo plano de forma constante. Del mismo modo, en su última versión, oculta su icono en el launcher para prevenir que la borremos, como detallaremos más adelante.

Otro punto relevante del archivo es que es capaz de actualizarse por sí mismo, mediante la ejecución de código dinámico descargado desde internet. En otras palabras, código que puede ir cambiando (actualizándose, modificándose) proveniente de la red. Este código se descarga desde un servidor CnC (command and control), mediante el que se comunica de forma encriptada. Esta comunicación es especialmente peligrosa, ya que permite al teléfono enviar datos constantemente. Todo dato que recopile del usuario se puede mandar al servidor CnC. El resumen aquí es que el comportamiento de la app es cambiante, lo que la hace más peligrosa aún.

Los primeros pasos de la app en nuestro teléfono

Tras darle permisos, la app tiene libre albedrío para moverse por el sistema. Tanto es así que lo primero que hace es establecerse como aplicación predeterminada de mensajes. Este proceso manual, que debería estar en manos del usuario, logra automatizarse para que la app lo haga por sí misma. Si queremos revertir el proceso, Android nos muestra el error "no se puede realizar esta acción en un servicio del sistema", cerrando directamente los ajustes, para que no podamos hacer nada.

Logra cerrar los ajustes haciendo tres pulsaciones sobre home sin que nos demos cuenta. Es decir, en cuanto perseguimos la app y esta se siente "atacada", pulsa tres veces inicio para que volvamos a la pantalla de inicio y lo podamos acceder a los ajustes necesarios para desinstalarla.

No solo se establece como app predeterminada de mensajes sino que, si intentamos abrir Mensajes de Google o la app que tuviéramos antes como predeterminada, se superpone encima suya para mostrar su interfaz. De esta forma, hagamos lo que hagamos pasaremos por esta aplicación, que leerá los SMS, tendrá la posibilidad de escribirlos y mandarlos en segundo plano, así como contar con acceso completo a nuestra lista de contactos. Esta lista de contactos pasa a una base de datos que recibirá de nuevo el SMS, y de los contactos que caigan en la estafa, volverá a tener más contactos aún para seguir creciendo. Esto se traduce en que podemos tener cargos extra por SMS enviados sin nuestro permiso.

Lo más impactante es que no hay forma de eliminar esta aplicación por las buenas ya que, cada vez que intentamos acceder a ella o bien desde el menú de apps o bien desde accesibilidad para revocarle permisos, cierra automáticamente los ajustes, como hemos indicado. Así, tenemos una aplicación capaz de leer las contraseñas del teléfono, los SMS y actuar a su propia voluntad, sin que podamos pararla por nuestra cuenta.

Cómo es capaz de robar cuentas y datos bancarios

Como hemos indicado, esta aplicación tiene todos los permisos posibles para acceder a los contenidos de nuestra pantalla. Basta con abrir la aplicación del banco y ver, literalmente, la contraseña que le ponemos. Para esto, la app muestra una ventana falsa cuando abrimos la app bancaria, y mediante dicha ventana falsa nos pueden robar las credenciales. Del mismo modo, es técnicamente posible que capte cualquier credencial sin ni siquiera mostrar una ventana falsa, ya que registra la información de la pantalla y la puede capturar.

La app es capaz tanto de leer nuestras contraseñas como de acceder a nuestros mensajes, por lo que sería posible que leyese nuestro DNI en uno de ellos y tratase de iniciar sesión verificando cuenta en otro dispositivo

Del mismo modo, tiene acceso completo a nuestros SMS, por lo que puede robar cualquier dato del DNI vinculado al banco u otro servicio en el que lo hayamos introducido. Con un número DNI y una verificación SMS de la que no somos conscientes, se pueden usar estos datos para iniciar sesión en nuestra cuenta bancaria, tanto desde el terminal como desde fuera.

Con toda esta información y el permiso de SMS (recordemos que puede leer, escribir, enviar y recibir sin que lo sepamos), la app tiene vía libre para transferir dinero con nuestras credenciales y verificar por SMS sin que ni siquiera nos demos cuenta. Asimismo, la app es capaz de detectar si hay una aplicación bancaria instalada para atacarla directamente.

Cómo desinstalar esta aplicación

Desde el modo seguro, con suerte, podremos acceder a los ajustes del teléfono para borrar la app desde el menú de aplicaciones.

Hay cuatro formas principalmente de eliminar esta aplicación: desde el propio teléfono o desde el PC. La forma más sencilla es usar el modo seguro. Este es el modo que tiene Android para que solo se ejecuten las apps básicas del sistema, pensado precisamente para poder desinstalar aquellas que den problemas. Al modo seguro se accede de forma muy sencilla en buena parte de los teléfonos, aunque en otros cambia.

En móvil con Android puro y similares

En móviles con Android puro y Xiaomi, dejas pulsado 'apagar' y aceptas el reinicio en modo seguro.

Simplemente tienes que dejar pulsada la opción de apagar, la cual te permitirá reiniciar en modo seguro.

En móviles Samsung

Para activar el modo seguro en un Samsung sigue estos pasos:

  • Apaga el dispositivo
  • Mantén presionada la tecla Encendido hasta que aparezca en la pantalla el nombre del teléfono
  • Cuando “SAMSUNG” aparezca en pantalla, suelta la tecla Encendido
  • Inmediatamente después de soltar la tecla Encendido, mantén presionada la tecla Bajar volumen.

En móviles Huawei

En los móviles Huawei estos son los pasos para activar el modo seguro.

  • Apaga el teléfono
  • Pulsa el botón de encendido y el botón de volumen+
  • Espera hasta que aparezca una nueva pantalla
  • En esta pantalla, pulsa sobre 'Modo seguro'

Este modo deshabilita todas las aplicaciones que se hayan instalado, por lo que este APK no podrá correr, pero sí ser desinstalado de forma manual. La ruta es la siguiente:

  • Abre los ajustes del teléfono
  • Ve al menú de aplicaciones
  • Busca FedEx y pulsa sobre ella
  • Dale a 'desinstalar'

En segundo lugar, formatear el terminal de fábrica, como tienes detallado en en Xataka, elimina todas las aplicaciones de terceros así como los archivos que puedan quedar en el móvil. Debido a la diversidad de capas de personalización que hay en Android, algunos lo incluyen en el apartado de Copia de seguridad, otros en Cuentas de usuario, otros en Seguridad. Si eres incapaz de encontrarlo, usa el buscador en la parte superior para buscar por "restaurar" o "restablecer". Para realizar un formateo tienes que seguir estos pasos.

  • Abre los ajustes del teléfono
  • Pon en el buscador "restaurar" o "restablecer"
  • Pulsa sobre la opción de "borrar todos los datos" o "borrar todo", etc.
  • Espera a que el teléfono se reinicie por completo

El método más complicado y enfocado a expertos, es el de eliminar la aplicación mediante comandos ADB. En resumidas cuentas, utilizaremos la consola de comandos de Windows o macOS para eliminar la aplicación desde allí. En primer lugar, es necesario tener los drivers ADB instalados, tanto en Windows como en macOS.

Una vez tengamos los ADB Drivers instalados, tendremos que activar la depuración USB desde las opciones de desarrollador. Para llegar a las mismas hay que seguir estos pasos.

  • Abrimos los ajustes del teléfono
  • Nos vamos a 'acerca del teléfono', 'información sobre el teléfono' o similar
  • Buscamos 'número de compilación' y pulsamos sobre él siete veces
  • Volvemos al menú de ajustes
  • Pulsamos sobre 'sistema'
  • Pulsamos sobre 'opciones avanzadas'
  • Nos vamos a las opciones de desarrollador
  • Activamos la 'depuración USB'.

Una vez activamos la depuración USB, conectamos el móvil al PC y abrimos una consola de comandos. En el caso de Windows lo hacemos introduciendo la palabra 'terminal' en la barra de búsqueda, mientras que en macOS haremos lo mismo, en este caso en la lupa de búsqueda.

Una vez se hayamos conectado el móvil tendremos que realizar estos pasos para eliminar la aplicación:

  • Abre la consola de comandos
  • Escribe "adb shell"
  • Escribe el comando "pm uninstall com.tencent.mm"

Listo. De esta forma, la aplicación se eliminará de tu teléfono y no debe volver a dar problemas. Como siempre, en estos casos, recomendamos tener especial cuidado con los APK externos, máxime si el propio sistema operativo nos indica que puede entrañar peligros.

Por último, hay un método recomendado por nuestro experto en seguridad, que ha desarrollado una aplicación capaz de eliminar el virus. Actúa como un launcher, encerrando a la aplicación dentro de dicha app para que no pueda volver al escritorio por defecto del teléfono (recordemos aquí lo que hemos explicado de cómo el virus trata de huir volviendo a home).

En otras palabras, cuando la app trata de hacer tres pulsaciones para volver al escritorio, se encuentra con que el escritorio es la app para borrarlo. Al ser una aplicación de un tercero, tenemos que descargarla fuera de Play Store.

  • Descarga la aplicación desde Github
  • Ábrela
  • Establécela como launcher predeterminado
  • Pulsa sobre 'Desinstalar malware'
A pesar de que la app proviene de un experto de nuestra confianza, recalcamos que instalar APKs de terceros conlleva cierta responsabilidad y que no nos hacemos responsables de cualquier problema ocasionado con este tipo de prácticas.

Ver todos los comentarios en https://www.xatakandroid.com

VER 9 Comentarios

Portada de Xataka Android