Agresiva variante del gusano SMS Selfmite para Android se globaliza


El gusano SMS Selfmite Android está de vuelta, y esta nueva versión es tanto o más peligrosa y más generalizada que la inicial.




Los Investigadores de AdaptiveMobile, que descubrieron las dos versiones, la llaman "Selfmite con esteroides", y la han rasteado en Canadá, China, Costa Rica, Ghana, India, Iraq, Jamaica, México, Marruecos, Puerto Rico, Rusia, Sudán, Siria, EE.UU. , Venezuela y Vietnam.

"Selfmite.b infecta a muchos más usuarios, utiliza varias técnicas de monetización y en general es más peligroso y difícil de detener", señalaron.


Como antes , el círculo de infección comienza con los usuarios que reciben mensajes SMS que pregonan la grandeza de una aplicación. "Hola amigo, intente esto, es increíble sepalo" y "Hey, pruebalo, es muy fino" e incluyen un enlace acortado.

Los usuarios que caen en el ardid y descargan e instalan el archivo APK ofrecido – siendo esta una aplicación troyanizada de Google Plus la cual tiene inyectado el código del gusano - se infectan. El gusano hace contacto con un servidor remoto y descarga un archivo de configuración que contiene los datos que utilizará el gusano para propagar la infección.


A diferencia de la versión anterior del software malicioso, que enviaba mensajes a sólo 20 de los contactos de la víctima, éste lo envía a todos, y repetidamente

"AdaptiveMobile ha rastreado más de 150 mil mensajes enviados en los últimos 10 días a partir de más de 100 dispositivos que se encuentran en 16 países. Esto es 100 veces más tráfico que el generado por Selfmite.a", anotaron los investigadores.


"Esto significa que las posibles víctimas seguirán recibiendo mensajes SMS maliciosos desde un teléfono infectado hasta que el operador lo detecte y bloquee estos mensajes o el propietario de un teléfono infectado elimine el malware", señaló el investigador Denis Maslennikov.

"Mediante el uso de múltiples 'points touch' (toques) atrae a los usuarios después de la instalación, Selfmite.b aumenta así sus posibilidades de monetización", explicaron los investigadores.

"Los usuarios serán dirigidos a una aplicación en Google Play después de hacer clic en el icono del gusano instalado [la aplicación troyanizada de Google Plus], o al hacer clic en los iconos que Selfmite.b ha puesto en sus escritorios por lo tanto, serán redirigidos a sitios web de suscripción no solicitados. El gusano también varía el contenido de acuerdo a las direcciones IP, lo que significa que los usuarios de diferentes países serán redirigidos a diferentes sitios web ".



Es interesante observar que, si bien los usuarios de iOS no están en peligro de contraer la infección, si hacen clic en el enlace en el SMS, se les redirigirá a una aplicación de Aptitudes (fitness) específico en la App Store de Apple y exhortara a probarlo.

Hasta ahora, la propagación del gusano ha sido contenida, mediante el titular del servicio de acortamiento de URL utilizados por los autores de malware como Go Daddy, que desactivó los enlaces maliciosos. Aún así, los enlaces fácilmente cambian y redirigen al gusano mediante un cambio en el archivo de configuración de descarga.

Fuente: net-security