El troyano bancario Wroba se propaga por EEUU y Japón a través de SMS

Wroba, el troyano bancario que afecta a teléfonos móviles y que apareció por primera vez en 2010, traslada su campaña a EEUU y Japón.

A juzgar por los hallazgos encontrados, Wroba, que nació como troyano bancario específico para teléfonos inteligentes con sistemas operativos Android y que desde su aparición ha estado afectando a usuarios de la zona APAC especialmente, comenzó a expandir su campaña de malware en EEUU y más recientemente en Japón.

Dicho esto, debemos tener en cuenta que esta campaña afecta a terminales más allá de Android, en concreto como ya se descubrió en 2018, afecta a usuarios de iOS, si bien el archivo malicioso no se instala en iPhone y se muestra a las víctimas una página de phishing distinta como veremos a continuación.

Respecto a su operativa, Wroba, además de recolectar datos financieros, es capaz de robar información de archivos y contraseñas, verificar qué aplicaciones están instaladas, abrir páginas web, llamar a números de teléfono específicos o enviar mensajes SMS a los contactos que encuentra en el teléfono de la víctima con el fin de continuar propagándose.

Permisos de la aplicación vía VirusTotal. Hash: ccdc5c71c18709cea46e8dce04f985e19c054abfcb19a7ee6d875a09e3aa39b1

En cuanto al funcionamiento de la campaña, se basa en la difusión de falsos mensajes de texto relativos al envío de paquetería. El texto del SMS contiene un enlace que invita al usuario a hacer clic para revisar el envío. Tras pulsar, el flujo de acciones dependerá del sistema operativo del teléfono afectado.

Si se trata de un terminal Android, los usuarios será redirigidos a una página de phishing que les alertará sobre la necesidad de actualizar su navegador Chrome. Al intentar actualizar el mismo desde dicha página, comenzará la descarga de la aplicación maliciosa.

Pantalla de instalación. Fuente Avira.

En cuando a usuarios de iOS, eran redirigidos a una web que simulaba ser la página de inicio de sesión de ID de Apple, con lo que se pretendía robar dichas credenciales.

Por último, es bueno recordar la necesidad de tratar los mensajes SMS con la misma cautela que requieren los correos electrónicos, no debiendo hacer clic en enlaces de remitentes desconocidos o sospechosos para no llevarnos sorpresas desagradables.

Más información:

Wroba Android banking trojan targets Japan
https://www.avira.com/en/blog/the-android-banking-trojan-wroba-shifts-attack-from-south-korea-to-target-users-in-japan

Wroba Mobile Banking Trojan Spreads to the U.S. via Texts. Tara Seals
https://threatpost.com/wroba-mobile-banking-trojan-spreads-us/160785/

Comparte en tus redes: