La Agencia Finlandesa de Transportes y Comunicaciones (Traficom) advierte de una campaña de malware para Android que intenta entrar en cuentas bancarias en línea.
La agencia ha detectado numerosos casos de mensajes SMS escritos en finés en los que se pide a los destinatarios que llamen a un número. El estafador que contesta a la llamada pide a las víctimas que instalen una aplicación de McAfee para protegerse.
Los mensajes pretenden proceder de bancos o proveedores de servicios de pago, como MobilePay, y utilizan tecnología de suplantación de identidad para que parezcan proceder de un operador nacional de telecomunicaciones o de una red local.
Sin embargo, la aplicación de McAfee es un malware que permite a los actores de la amenaza violar las cuentas bancarias de las víctimas.
«Sobre la base de los informes recibidos por el Centro de Ciberseguridad, los objetivos están siendo alentados a descargar una aplicación de McAfee», dice el aviso. (traducido por la máquina)
«El enlace de descarga ofrece una aplicación .apk alojada fuera de la tienda de aplicaciones para dispositivos Android. Sin embargo, no se trata de un software antivirus, sino de malware para instalar en el teléfono».
OP Financial Group, uno de los principales proveedores de servicios financieros del país, también publicó una alerta en su página web sobre mensajes engañosos que se hacían pasar por bancos o autoridades nacionales.
La policía también destacó la amenaza, advirtiendo de que el malware permite a sus operadores conectarse a la cuenta bancaria de la víctima y transferir dinero. En un caso, una víctima perdió 95.000 euros (102.000 dólares).
Traficom afirma que la campaña está dirigida exclusivamente a dispositivos Android y que no existe una cadena de infección separada para los usuarios de iPhone de Apple.
Sospecha de troyano Vultur
Aunque las autoridades finlandesas no han determinado el tipo de malware y no han compartido los hashes o identificadores de los archivos APK, los ataques se parecen a los que los analistas de Fox-IT informaron recientemente en relación con una nueva versión del troyano Vultur.
La nueva versión de Vultur entró en circulación recientemente, utilizando ataques híbridos de smishing y llamadas telefónicas para convencer a los objetivos de que descarguen una aplicación falsa de McAfee Security, que introduce la carga útil final en tres partes separadas para esquivarla.
Entre sus últimas características se incluyen operaciones ampliadas de gestión de archivos, uso indebido de servicios de accesibilidad, bloqueo de aplicaciones específicas para que no se ejecuten en el dispositivo, desactivación de Keyguard y visualización de notificaciones personalizadas en la barra de estado.
Si has instalado el malware, debes ponerte en contacto inmediatamente con tu banco para activar las medidas de protección y restablecer los «ajustes de fábrica» en el dispositivo Android infectado para borrar todos los datos y aplicaciones.
OP afirma que no pide a sus clientes que compartan datos sensibles por teléfono ni que instalen una app para recibir o cancelar pagos, por lo que solicitudes similares deben denunciarse inmediatamente al servicio de atención al cliente del banco y a la policía.
Google ha confirmado previamente a CiberNovedades que la herramienta antimalware integrada en Android, Play Protect, protege automáticamente contra versiones conocidas de Vultur, por lo que es esencial mantenerla activa en todo momento.