domingo, 5 de abril de 2015

WhatsApp Llamadas: Un phishing con estadísticas en tiempo real que distribuye malware para Android


Ayer, en el blog de Eleven Paths, nuestro compañero hacía una reflexión sobre las apps para Android que venían con RATs (Remote Administration Tools), y que estaban siendo distribuidas a través de Google Play.

Hoy, siguiendo con elmalware, quiero hablar por aquí de una campaña de sitios de phishing que se han publicado en múltiples dominios creados para la ocasión, como sonWhatsappsite.com, WhatsAppVid.com, WhatsAppCallsInvitation.com o WhatsAppCallsInvite.com. Todos estos sitios están incitando a viralizar la inclusión de más contactos en esta falsa campaña distribuyendo un mensaje que supuestamente permite conseguir acceso a la función de WhatsApp Llamadas para realizar llamadas gratis. Por supuesto, el objetivo de todo esto no es otro que infectar a los usuarios con apps maliciosas.

El aspecto que tienen los sitios de la campaña, además de los que han sido infectados, es el que se puede ver a continuación. En el solo hay dos botones, para invitar y para continuar el proceso. El segundo de los botones no permite continuar si no se ha realizado antes el proceso de invitar. Si te conectas con uno de los navegadores habituales, a día de hoy el sitio sale marcado como un sitio malicioso, pero si te conectas por alguna navegador sin protección de sitios antiphishing, no dará ninguna alerta.

Figura 2: Mensajes de Phishing utilizado en los sitios webs para distribuir el malware

Si pulsas a invitar, podrás ver que el objetivo es conseguir que se abra dentro deWhatsApp y se envíe a más contactos para que visiten, también desde WhatsApp, este mismo sitio de phishing. 

Figura 2: El hipervínculo que sale cuando se da a "Invite Now"

Para saber cómo les está yendo el negocio, los responsables de la campaña están utilizando paneles de control de estadísticas, que se pueden ver en las páginas de phishing. Esto no es muy común, pero si miras en el código fuente deWhatsAppSite.com puedes ver el siguiente script.
Figura 3: Script de estadísticas para contabilizar cuánta gente visita el sitio de phishing

Esto hace referencia a un panel de estadísticas en la web Amung.us que está disponible online, y donde se puede ver en tiempo real cómo las víctimas se conectan a los diferentes portales y el número de ellos a los que ha alcanzado la campaña.
También se puede ver por donde se ha distribuido geográficamente, con lo que se tiene una idea de cuál es el objetivo inicial de la misma y cómo va evolucionando.

Figura 5: Distribución de las víctimas en tiempo real. Muchas en Latinoamérica y España

Si tienes amigos y conocidos, avísale de que tenga mucho cuidado si le llega una de estas invitaciones. A día de hoy se está aprovechando del buzz mediático de cualquier tema para hacer este tipo de campañas de malware - y no se iba a desperdiciar el interés que despierta WhatsApp -así que hay que tener mucha prudencia con cualquier mensaje que llegue similar a estos.





No hay comentarios:

Publicar un comentario