El SMiShing, una variante del phishing, llega a Android

¿Qué es el SMiShing?

Son mensajes de texto cuya finalidad es la de conocer y obtener información privada de usuarios de telefonía móvil. El objetivo final es introducir algún tipo de spyware o programas con intenciones maliciosas en el sistema sin consentimiento del usuario. Como hemos comentado, es una variable del phishing, que utiliza en este caso el módulo de mensajería de nuestros terminales.

¿Cómo funciona?

El sistema encargado de enviar estos mensajes de texto intentará suplantar la identidad de alguna de las personas de nuestra lista de contactos e incluso puede hacerse pasar por una empresa de confianza. En cualquier caso, recibiremos un SMS con un texto similar al siguiente “Estamos confirmando su alta en el servicio de citas. Le cobraremos 2 dólares al día de cuota, a menos que cancele su petición” y una dirección de una web. Una vez visitemos esa página con el propósito de cancelar nuestra suscripción, seremos incitados o forzados a descargar algún tipo de programa, que suele ser un troyano.

Actualmente el sistema es algo más complejo. Se combina con algún tipo de exploit que puede encontrarse en cualquier aplicación que descarguemos de una tienda de aplicaciones. Por supuesto, de una no oficial, ya que en Google Play es prácticamente imposible encontrar estas aplicaciones “contaminadas”. La diferencia con el SMiShing, es que ahora el SMS no es enviado, sino que se genera en el propio teléfono. Una vez que el exploit toma control del modulo de mensajería, comienza a supervisar la actividad del usuario.

Los responsables de Android, Google Security Team, ya han sido puestos en alerta acerca de esta vulnerabilidad, que en los últimos días se ha extendido bastante. La recomendación en estos casos es no instalar aplicaciones de las que tengamos dudas o que su origen sea desconocido e ignorar mensajes que nos parezcan sospechosos.