Un nuevo troyano de servicios premium de SMS está afectando a Android

Escrito por Adrián Crespo
Android
0

Se trata de una nueva variante del troyano para Android Foncy, que estaba basado en servicios premium de SMS. A pesar de que sus creadores están en prisión, ya que fueron detenidos el mes de febrero, una nueva versión del troyano ha aparecido, y podría afectar a una gran cantidad de usuarios de países europeos y algunas regiones de Canadá, si seguimos a las cifras de su predecesor.

Y es que, con la detención de sus creadores, todos las autoridades daban por muerto al virus, ya que desde antes de su detención, el troyano no recibía ningún tipo de actualización por lo que era imposible que aún siguiese en funcionamiento.

Sin embargo, otro troyano que se considera una variante de Foncy ha aparecido durante las últimas semanas.

Según expertos de Kaspersky, la variante aún no está activada, pero si que ha hecho más de una decena de apariciones en territorio francés. Parece ser que el troyano, que ha recibido el nombre de “Mania”, es parte de una protesta contra la detención de los creadores de su anterior versión. Desde Kaspersky confirman que de momento es probable que sólo afecte a usuarios franceses, aunque no descartan que este se vaya extendiendo a otros países.

Posee la apariencia de una aplicación legítima

El troyano ha aparecido de momento camuflado en instaladores de juegos, software de navegación GPS y algunas aplicaciones relacionadas con el tiempo atmosférico. Todo parece correcto mientras se realiza la instalación hasta que el proceso se detiene y comienza a “comprobar” la validez de una licencia.

Sin embargo, mientras el usuario cree que comprueba una licencia, el troyano instala el código en el dispositivo que permitirá envío de mensajes a un número premium francés sin que el usuario lo sepa.

Ubicación del código malicioso

Como hemos indicado anteriormente, el troyano puede estar camuflado como una gran cantidad de aplicaciones, por lo que es probable que la aplicación pueda utilizar una gran variedad de nombres. Lo que si se sabe a ciencia cierta es que el código malicioso se encuentra en el fichero Activity.class principalmente, y después en las clases SMSReceiver.class3 y Machine.class.

Fuente | Net-Security