Gusano SMS Selfmite.b es más agresivo, envía 150.000 mensajes en 10 días
NOTA: infecto un una tablet de un cliente Olga Zea y un smartphone de Jose Martinez y logre neutralizar el virus
Inyecta código en legítima aplicación de Google Plus el 09 de octubre 2014 08:41
GMT Una nueva versión del gusano Selfmite SMS para Android, informó a finales de junio que confiar en el marketing de afiliados para ganar dinero, se ha encontrado que depender de un método diferente, más agresiva para alcanzar el mismo objetivo que la variante inicial.
Servicio de SMS se ha mantenido como el método de propagación, y esta vez, los ladrones eligieron una aplicación más atractiva para entregar el gusano. De acuerdo a los investigadores de seguridad, el malware ahora puede inyectar código en la legítima aplicación de Google Plus. Una vez instalada la amenaza, empieza a enviar mensajes a todas las entradas en la lista de contactos, con enlaces acortados a través del servicio de GoDaddy (x.co); las URL apuntan a una aplicación maliciosa. Cuando se agota la lista de contactos, Selfmite.b reinicia el proceso de envío de mensajes, lo que podría resultar en un aumento de la factura de teléfono de la víctima. Parece que en no más de diez días, Selfmite envió 150.000 textos de más de 100 dispositivos infectados en 16 países. Hay varios cambios disponibles en esta variante de la amenaza, que dejan claro que los actores detrás de él se han vuelto más organizado y están mirando para conseguir el máximo rendimiento de Selfmite.
Mejora archivo de configuración descargas Selfmite
Cuando fue visto por primera vez , el propósito de Selfmite era claro: se propagan a través del servicio de mensajes cortos a un número limitado de individuos en la lista de contactos y forzar una copia de Mobogenie en el dispositivo de la víctima; esta segunda acción es crucial para los operadores detrás de él para hacer dinero, ya que se les paga por cada instalación de la aplicación. Investigadores de AdaptiveMobile, quien también descubrió la primera versión del gusano, se dio cuenta de que los ladrones se diversificaron la máquina de hacer dinero a través de un más complejo conjunto de instrucciones descargados por el software malicioso desde un servidor de comando y control. El archivo de configuración instruye Selfmite para anunciar los servicios de los ladrones se les paga por acuerdo con la IP de la víctima. Como tal, los usuarios de diferentes regiones geográficas se entregan contenido diferente. AdaptiveMobile dice que dos iconos se crean en la pantalla de Android y "si el usuario hace clic en uno de los iconos de los siguientes contenidos que recibe depende de su país de origen." Se dieron cuenta de que un usuario de Irlanda se apuntó a una página de suscripción premium, mientras que uno en Rusia recibiría la aplicación Mobogenie, al igual que en la variante inicial del malware.
Selfmite se aprovecha de más oportunidades de hacer dinero
El archivo de configuración también se utiliza para un segundo método de monetización, que implica una aplicación de Google Plus comprometida. A partir de la aplicación redirige a una diferente en Google Play, probablemente también parte del esquema de pago por instalación. Tras cerrarla, una oferta de suscripción de un determinado servicio se abre automáticamente en el navegador web móvil. AdaptiveMobile dice que el tipo de suscripción está sujeta a cambios, dependiendo del archivo de configuración. Forzando contenidos no solicitados a los usuarios, los operadores garantizan un flujo de ingresos a partir de las redes de publicidad y de remisión. Los investigadores dicen que, cuando un mensaje de texto de una víctima infectada es se accede desde un dispositivo iOS, la URL acortada redirige a la aplicación de la aptitud en el Apple Store. Debido al enfoque más agresivo utilizado en la variante Selfmite actual, el número de víctimas es mucho mayor que en el caso de la versión anterior. "Además de que es muchas formas de monetización juntos hace Selfmite.ba asunto realmente grave", dijeron los investigadores.
