Con este malware, los ciberdelincuentes consiguen hacerse con los datos de las víctimas, como la operadora a la que está suscrito o el país en el que se encuentra.

REDACCIÓN.- Se ha extendido una amenaza de seguridad en dispositivos con sistema operativo Andorid que se basa en un malware telefónico. Los atacantes desactivan la red Wifi y suscriben al usuario a servicios prémium, según advierte Microsoft.

Para llevar a cabo esta amenaza, los ciberdelincuentes engañan a las víctimas para que llamen o envíen un SMS a un número Premium, es decir, que tienen una tarificación adicional y un mayor coste. Aquellos que caen en esta estafa, quedan suscritos a un servicio de pago y comienzan a recibir cargos en sus facturas telefónica.

Una de las características de este fraude es que no funciona cuando los usuarios están conectados a redes Wifi, por lo que obligan a los usuarios a conectarse a la red del operador móvil al que estén suscritos.

De este modo, cuando el usuario envía ese SMS o llama al teléfono prémium, el malware actúa de forma automática y, sin que el usuario sea consciente, deshabilita la red Wifi para que el usuario se conecte a la red móvil.

Una vez hecho este paso, inicia la página de suscripción a servicios prémium, interceptando los códigos de un solo uso OTP, suprimiendo las notificaciones y SMS que podrían alertar al usuario de que está siendo suscrito a estos servicios.

Cómo consigue este malware deshabilitar la red Wifi

El malware utiliza funciones de Android para monitorizar el estado de la red y evita que se conecte a la Wifi, lo que obliga a que el dispositivo esté conectado a la red móvil.

En Android 9 (nivel de API 28) o inferior, esto es posible con un nivel de permiso de protección normal. Para un nivel de API más alto, existe la función ‘requestNetwork’ que se incluye en el permiso CHANGE_NETWORK_STATE, que también viene con un nivel de protección normal.

Con este malware, los ciberdelincuentes consiguen hacerse con los datos de las víctimas, como la operadora a la que está suscrito o el país en el que se encuentra.

Así funciona este malware telefónico

Microsoft ha compartido más detalles técnicos de este malware en un informe destacando que funciona sobre el Protocolo de aplicación inalámbrica (WAP), que permite esa suscripción a los contenidos de pago que se cargan en la factura telefónica.

Según la compañía, el malware hace todos estos pasos automáticamente sin que el usuario se dé cuenta:

1. Deshabilita la conexión Wifi o espera a que el usuario cambie a una red móvil.

2. Posteriormente, navega hasta la página de suscripción y hace clic automáticamente en el botón para suscribirse interceptando la OTP, código de confirmación de la suscripción, y cancela las notificaciones de SMS.

Otro de los aspectos interesantes es que el malware usa ‘NetworkCallbak’ para monitorizar el estado de la red y obtener la variable ‘networktype’ para vincular el proceso a una red específica, lo que obliga al dispositivo a ignorar una conexión Wifi disponible y usar la del operador móvil.

La única forma en que el usuario puede evitar esto es deshabilitar manualmente los datos móviles. Si el operador de telefonía móvil de la víctima está en la lista de objetivos, el malware procede a buscar una lista de sitios web que brindan servicios premium e intenta suscribirse a ellos automáticamente.

Si bien existen múltiples escenarios de suscripción, los usuarios normalmente hacen clic en un elemento HTML y luego envían un código de verificación al servidor. Microsoft señala que a veces se puede requerir una verificación adicional. Las muestras de malware de fraude telefónico que ha analizado la compañía también tienen métodos para conseguirlo.

Algunos operadores finalizan la suscripción solo después de verificar que el usuario lo autorizó a través de un código OTP entregado a través de SMS, HTTP o USSD (datos de servicio complementarios no estructurados).

Recomendaciones para no caer este malware

Para evitar ser víctimas de esta nueva amenaza en Android, es clave llevar a cabo una serie de prácticas que garanticen la ciberseguridad:

- Disponer de un antivirus para el dispositivo móvil es un buen comienzo.

- Mantener los celulares actualizados para que cualquier brecha de seguridad esté solucionada.

- No descargar archivos procedentes de remitentes no confiables.

- No presionar en enlaces sospechosos.

- No instalar aplicaciones si no es de tiendas oficiales.

- Evitar permitir que las aplicaciones lean o envíen SMS, accedan a notificaciones o accedan a menos que estos permisos sean necesarios para el funcionamiento norma.