Mobile Malware Rotexy, que es un híbrido de un bloqueador de ransomware y un troyano bancario, está expandiendo sus extremidades. En agosto y septiembre, algunos de los especialistas registraron más de 40.000 pruebas para incrustar esta aplicación maliciosa en los teléfonos inteligentes Android. Aunque parte de la información técnica y otros detalles son conocidos en todo el mundo, hablaremos sobre la infección en detalle junto con la solución para deshacerse de ella de forma gratuita.
¡Entonces empecemos!
Rotexy utiliza SMS, incluido el enlace de descarga de una aplicación con texto atractivo que insta a las personas a hacer clic en los enlaces y descargar la aplicación. Si el SMS enviado proviene de un número desconocido, se ignora; sin embargo, cuando recibe dicho SMS del número de un amigo, es cuando la gente hace clic en el enlace.
Una vez que el dispositivo se infecta, el troyano comienza a preparar la estructura para el siguiente paso. Rotexy primero identifica qué dispositivo ha sido infectado, por lo que podría obstaculizar el trabajo de los investigadores de antivirus. Si el malware identifica que está funcionando en un emulador, recorre el proceso de inicialización de la aplicación repetidamente.
Antes de que el troyano comience a funcionar, inspecciona si el dispositivo cumple con los requisitos básicos. Una vez hecho esto, solicita derechos de administrador. Probablemente el usuario no dará permiso, sin embargo, las ventanas emergentes aparecerán repetidamente y el usuario no podrá usar el dispositivo. Una vez que se otorga el permiso, Rotexy notificará que la aplicación no se ha cargado y oculta el ícono.
El siguiente paso, el malware se pone en contacto con sus propietarios y les proporciona información sobre el teléfono inteligente. A cambio, recibe instrucciones junto con una colección de textos y plantillas. Rotexy llega al servidor C&C, sin embargo, los piratas informáticos han ideado otras formas de enviar instrucciones, como a través de SMS o Google Cloud Messaging.
Siempre que se reciba un mensaje en un teléfono inteligente infectado. El software malicioso activa el modo silencioso en el dispositivo para que la víctima no pueda escuchar el timbre de notificación por SMS entrante. Una vez que se recibe un mensaje, intercepta el SMS y lo compara con las plantillas recibidas del servidor C&C. Si se encuentra algo interesante, como los últimos dígitos de un número de tarjeta de una notificación bancaria, lo guarda y lo envía al servidor. Además, el malware puede interceptar y responder a dichos mensajes: las plantillas enviadas por los propietarios de malware tienen textos de reconocimiento para cuando se necesitan.
En caso de que no se reciba una plantilla u orden, Rotexy guarda todas las comunicaciones en el dispositivo de la víctima y las envía a los jefes. Además, si los ciberdelincuentes lo desean, el malware puede reenviar un enlace para descargarlo a todos los contactos de la guía telefónica.
Leer también:Información privilegiada sobre el caballo de Troya
Principalmente, el malware roba datos de tarjetas bancarias para proporcionar el máximo beneficio a sus propietarios. Para ello, superpone una página web de phishing en la pantalla con el texto recibido con los SMS interponiendo órdenes. La interfaz y el aspecto de la página pueden ser diferentes cada vez, pero el objetivo principal es informar a la propietario del teléfono inteligente que le espera una transferencia de dinero y debe proporcionar los detalles de la tarjeta a Consíguelo.
Además, para que parezca genuino, los desarrolladores de malware controlan la forma de verificar el número de tarjeta. Valida que el usuario esté marcando el número de tarjeta correcto. Después de eso, Rotexy obtiene los últimos cuatro dígitos del número de la tarjeta del SMS bancario que almacenó y los compara con los que el usuario ingresó en la página de phishing.
En caso de que no coincida, el malware muestra un error y le pide al usuario que ingrese los detalles correctos de la tarjeta.
Puede haber otra forma en la que Rotexy se comporte. Bueno, depende de las instrucciones que reciba del servidor C&C. En lugar de mostrar una página de suplantación de identidad, podría bloquear la pantalla de su teléfono inteligente con una ventana amenazante que le pide al usuario que pague una multa por "ver regularmente videos prohibidos".
También muestra la “evidencia” fotográfica que es un clip pornográfico. Los ciberdelincuentes actúan como una organización oficial, Rotexy utiliza principalmente, "FSB Internet Control".
Después de leer todo lo anterior que puede hacer Rotexy, debe estar pensando cómo podemos deshacernos de él. ¡Ojalá puedas! Puede desbloquear su teléfono inteligente infectado. Como se menciona, Rotexy recibe pedidos a través de SMS. Por lo tanto, el SMS no tiene que provenir de ningún número específico, cualquier número de teléfono o dispositivo podría enviarlo.
Por lo tanto, si su teléfono está bloqueado, solo necesita el teléfono de alguien y enviar una instrucción. Debe enviar un SMS a su número con el texto "393838".
Este SMS significa que es una orden para que el malware cambie la dirección del servidor C&C a vacío y, además, dejará de obedecer a los ciberdelincuentes.
Por otra parte, envíe un mensaje de texto que contenga "3458" a su número; esto evitará que el troyano acceda a su dispositivo con derechos de administrador y, por lo tanto, el troyano ya no tendrá control sobre su dispositivo.
El tercer SMS sería un texto "stop_blocker": esta instrucción empujará a Rotexy a eliminar el sitio o el banner que bloquea la pantalla.
Después de seguir estas instrucciones, si Trojan comienza a actuar nuevamente y solicita los derechos de administrador de su dispositivo, reinicie su teléfono inteligente en modo seguro. Una vez que el dispositivo se reinicie, vaya a Aplicaciones y notificaciones o Administrador de aplicaciones y elimine el malware de su dispositivo.
Nota: Este método funciona en la versión actual de Rotexy, sin embargo, es posible que no funcione con las versiones futuras.
Debe leer :TeleRAT: un nuevo caballo de Troya que roba sus datos
El proceso mencionado anteriormente es bastante engorroso y también podría ser riesgoso. Bueno, si te mantienes alerta y te ocupas de algunas cosas, es posible que no tengas que enfrentarlas por completo.
Nunca haga clic en enlaces sospechosos, ni siquiera si promete dar 1 millón de dólares.
Descarga aplicaciones solo desde Google Play.
Instale siempre un antivirus móvil confiable en su teléfono para mantenerlo siempre protegido.
Entonces, no importa en qué versión de Android esté trabajando o qué software haya instalado, un clic en un enlace sospechoso y su dispositivo, sus datos bancarios, todo será robado. ¡Cuidado y mantente siempre alerta!