Analistas de Kaspersky Lab han detectado el troyano SMS Trojan-SMS.AndroidOS.FakeInst.ef que ataca a usuarios en 66 países, incluyendo Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, México, Perú y Venezuela. FakeInst fue detectado por Kaspersky Lab en febrero de 2013 y desde entonces han aparecido 14 versiones distintas de este troyano. Las primeras versiones sólo eran capaces de enviar mensajes a números comerciales en Rusia pero a mediados de 2013 aparecieron otros países en la “lista de soporte”. Según estadísticas de Kaspersky Lab, la mayoría de las infecciones causadas por Trojan-SMS.AndroidOS.FakeInst.ef ocurrieron en Rusia y Canadá.
FakeInst se camufla como una aplicación para mirar videos pornográficos. La aplicación le pide al usuario que acepte enviar un mensaje de texto para comprar contenidos. Sin embargo, después de enviar el mensaje, el troyano abre un sitio de libre acceso.
Para enviar el mensaje, el troyano descifra un archivo de configuración que contiene todos los números y prefijos telefónicos. De esta lista, FakeInst selecciona los números y prefijos apropiados para el código de país para el móvil del usuario (MCC). “Por ejemplo, FakeInst es capaz de enviar 3085 diferentes modificaciones de textos que lucran a través del saldo de la víctima trayendo las ganancias ilícitas a los criminales. En México, el troyano envía mensajes a un número de 5 dígitos, en Chile a un número de 4 dígitos, en Brasil a un número de 5 dígitos, y lo mismo en Argentina. En el Ecuador, Perú, Colombia y Venezuela el troyano envía mensajes a un número corto de 4 dígitos, mientras que en Bolivia a un número de 3 dígitos”, explica Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina. El troyano también se comunica con su servidor de control y comando para recibir más instrucciones. De todos los comandos que recibe y procesa, está la habilidad para enviar un mensaje con un contenido específico a un número que aparece listado en el comando del C&C, y la habilidad para interceptar mensajes entrantes. El troyano puede hacer varias cosas con los mensajes entrantes: robarlos, eliminarlos o incluso responderles. “La economía de América Latina que ha estado estable y en crecimiento, junto al crecimiento exponencial de los usuarios móviles en la región que tienen Internet, ha hecho posible que los criminales se enfoquen en nuestra región. La combinación mortal para un usuario es tener el hábito de ver pornografía en el celular y no tener un antivirus en el dispositivo móvil. La única manera de no perder el dinero de su saldo a causa de este troyano es teniendo un anti-virus que lo detecte e impida su instalación”, añade Bestuzhev. Analistas de Kaspersky Lab consideran que FakeInst es obra de ciberdelincuentes rusos ya que sus primeras versiones estaban diseñadas para funcionar sólo en Rusia y porque todos sus servidores C&C están registrados y alojados con proveedores en ese país.