Hace mucho que no os contábamos cómo funciona el malware en profundidad, aunque siendo un campo en el que la falta de noticias suele suponer una buena noticia, casi esa preferible que continuara siendo así. Sin embargo, se acabó la sequía en ese campo, porque una vieja amenaza ha vuelto algo más fuerte si lo comparamos a su estado original (y no, no es en forma de chapa).
Antes de nada, toca conceder los créditos a los que se lo merecen: allá por junio fue cuando el equipo de AdaptiveMobile descubrió esta amenaza y analizó en profundidad su comportamiento, y también han sido ellos los que han descubierto la segunda variante de este gusano. Dicho esto, comenzamos contandote todo lo que envuelve a Selfmite, por qué es tan peligroso y qué podemos hacer para evitarlo.
Selfimite, el gusano. ¿Cómo se distribuye?
La distribución en ambos casos es la misma: llega a las víctimas a través de un SMS enviado por alguno de sus contactos, refiriéndose a ellos por su nombre. Este SMS contiene un enlace acortado que lleva a una dirección web con un archivo .apk que se descarga automáticamente en el dispositivo. En el caso de que se haya instalado con éxito, automáticamente la aplicación empezará a hacer su trabajo, y aquí es donde empezamos a ver las diferencias:
- En el caso de que se trate de Selfmite.a, escogerá 20 contactos de nuestra lista para enviarles el mismo mensaje que hemos recibido
- En el caso de que hablemos de Selfmite.b, directamente enviará ese SMS a toda nuestra esta lista de contactos de manera periódica
De esta forma, el gusano es capaz de difundirse por todo el mundo de una manera rápida y efectiva, todo ello sin que el infectado se de cuenta. Y parece haber funcionado mucho mejor con la segunda variante, porque ha sido capaz de enviar más de 150.000 mensajes en los 10 últimos días que han infectado (aproximadamente) más de 100 tipos de dispositivos. Pero las cosas no terminan aquí, porque esto es sólo el comienzo.
¿Qué hace con el dispositivo Android?
Una vez se encuentre instalado en el dispositivo Android y haya realizado esa acción de enviar los mensajes SMS, tenemos otras dos posibles rutas que cambian con la variante de la que estemos hablando, y que son las siguientes:
- Con Selfmite.a, este ataque es mucho menos intrusivo. Abre una ventana en el navegador que, después de varias redirecciones, descarga una versión modificada de Mobomarket que da directamente beneficios a los desarrolladores de este malware. Es algo peligroso, sí, pero se encuentra mucho menos explotado de lo que podría haber estado desde el principio. Aquí nos preguntamos si Mobo es víctima por la mala imagen que consigue o interesado por esas visitas extra.
- Con Selfmite.b, las cosas van mucho más allá: cuenta con un archivo de configuración que descarga automáticamente de Internet, lo cual hace mucho más complicado combatirlo. Y, hasta ahora, tenemos como extras a la primera variante la publicidad intensiva de servicios premium y una versión modificada de Google Plus, una estrategia parecida a la que ya pudimos ver con los SMS premium.
En todo caso, podéis ver ejemplos y código explicado en profundidad en el sitio web de AdaptiveMobile, así que os recomiendo entrar a las fuentes si estáis interesados en conocer todos los detalles acerca del gusano.
¿Cuáles son las partes afectadas? ¿Cómo sé si estoy infectado?
En todo caso, los países que más están sufriendo este ataque son los siguientes:
- Canadá
- China
- Costa Rica
- Estados Unidos
- Ghana
- India
- Iraq
- Jamaica
- Mexico
- Marruecos
- Puerto Rico
- Rusia
- Sudán
- Siria
- Venezuela
- Vietnam
En todo caso, los signos de infección son bastante claros: facturas infladas a costa de SMS, comportamiento sospechoso en nuestro dispositivo, tener ese mensaje recibido… en el primer caso debería bastar con eliminar la aplicación que ha causado todo esto y con eliminar el Mobogenie tocado, mientras que en el segundo caso un reseteo de fábrica se convierte en casi obligatorio para librarse por completo del problema.
Y en cualquier caso, ya sabéis lo que tenemos que hacer para evitar sustos: solo descargar/instalar aplicaciones de fuentes conocidas (Google Play), desconfiar de cualquier enlace sospechoso que lleguemos a recibir, y mirar bien los permisos de las aplicaciones para evitar este tipo de amenazas encubiertas.