Android.Selfmite, el troyano que ha enviado 150.000 mensajes en 10 días

El troyano Selfmite está «entre nosotros» desde el pasado mes de junio y, a través de los mensajes de tipo SMS, se transmite de unos a otros dispositivos móviles Android. Ahora, su efectividad es mayor, llegando a infectar a 15.000 móviles Android por día.

La forma de propagación del troyano que afecta a Android se ha mantenido intacta, el servicio de mensajes de tipo SMS. Sin embargo, la fórmula ha sido mejorada para tratar de infectar a un total de 15.000 dispositivos móviles con sistema operativo móvil Android en tan solo un día. Pero, ¿en qué consiste este gusano? Básicamente, recibimos un mensaje de tipo SMS con un enlace a Internet, una URL que será la que infecte nuestro teléfono inteligente. Una vez accedemos a la URL, nuestro teléfono inteligente recibe la solicitud de instalación de la propia pieza de malware que, al ser terminada la instalación, empezará a operar de diferentes formas.

Como cabría esperar, el troyano Selfmite.Android se vale de nuestra agenda de contactos para comenzar a enviar mensajes de tipo SMS a todos ellos exactamente con el mismo contenido. La URL que se envía, y que en primer lugar habremos recibido nosotros, apunta a los servidores de GoDaddy, aunque con un enlace acortado que apunta directamente a la instalación del software malicioso. Una vez que termina de hacer uso de nuestro listado de contactos, Selfmite reinicia el proceso de envío de los mensajes, lo que en cualquier caso derivará en un aumento en la factura de nuestra línea de teléfono.

apertura-troyano-android

¿Qué beneficios hay detrás de Selfmite para Android?

No en todos los casos, pero lo más corriente es que detrás de este tipo de piezas de malware haya algún interés económico. Y es que, mientras que en algunos casos se trata únicamente de poner en tela de juicio la seguridad de un determinado sistema de software, en este caso lo que se pretende, desde que fuera descubierto por primera vez durante la pasada temporada de verano, es «sacar tajada». Selfmite está distribuyéndose de forma automática en más de 16 países y la cantidad de dispositivos móviles que han sido infectados es ya muy elevada. Sin duda, la efectividad del gusano es crucial para alcanzar la meta de quienes están detrás de él, y hasta ahora la misión se ha cumplido.

El archivo de instalación del troyano Selfmite, en las últimas versiones, no sólo se encarga de infectar a nuestros dispositivos móviles con el software necesario para automatizar el envío del gusano a todos los contactos de nuestra agenda, sino que además, también instala, de forma automática, la tienda de aplicaciones Mobogenie. Pero, ¿es Mobogenie el que se beneficia, o el que más se perjudica de este troyano? En este caso todo son especulaciones y, aunque es evidente que hay un interés económico, no se sabe si la campaña de infección tiene como meta la distribución de Mobogenie, o por contra las intenciones pasan por desprestigiar al homólogo de Google Play Store.

Ahora bien, no todos los «infectados» han acabado con Mobogenie instalado en su teléfono inteligente Android, sino que el troyano Selfmite está elaborado de tal forma que cuenta con un sistema de detección de la dirección IP del afectado y, en función de la misma, que determina su localización geográfica, se instala una aplicación u otra. Así, mientras que usuarios de Irlanda han sido suscritos a servicios premium, usuarios de Rusia han sido los que han recibido, como consecuencia de la infección, una instalación automática de la tienda de aplicaciones Mobogenie.

SMS-Worm-Selfmite-Makes-an-Entry-and-an-Exit-448657-2

Los usuarios de iOS tampoco están a salvo

Como ya adelantábamos, desde que Selfmite fuese descubierto durante el pasado verano han sido varias las modificaciones del mismo gusano las que se han podido detectar. Así, mientras que antes afectaba únicamente a los usuarios del sistema operativo móvil de Google, Android, ahora también hay una variante del troyano que, al ser abierta la URL del SMS desde un iPhone, nos redirige directamente a una falsificación de la tienda de Apple.

En cualquier caso, los peligros que afectan a los usuarios de Android y los de iOS son los mismos. Como hemos detallado, detrás de este gusano hay un fuerte interés económico que está llevando a falsificar todo tipo de formularios de Google y Apple, así como aplicaciones, con la intención de hacernos pasar por todo tipo de publicidad -en el mejor de los casos- y en algunas excepciones aún más «peligrosas», suscribirnos a servicios premium que pueden engordar gravemente la factura mensual.