A lo largo de nuestras investigaciones de análisis, es recurrente encontrarnos con diferentes técnicas que utilizan los ciber criminales con el objetivo de aprovecharse de algún servicio. En esta investigación, descubrimos que desde un servidor web que fue vulnerado y estaba distribuyendo malware, también era utilizado para el envío masivo de mensaje de texto (SMS) (“Short Message Service”) a dispositivos móviles. El objetivo de está última acción que analizaremos a continuación, era suscribir al usuario a un servicio de mensajes premium de Argentina.
Esta técnica de envió masivo de mensajes no deseados a dispositivos móviles, esta cada vez siendo más popular, y de a poco, se está volviendo un problema como lo fue en su momento el spam. El ataque consiste en el envío masivo de SMS a un número de telefonía móvil, en donde la víctima que recibe estos mensajes,que resultan ser muy molestos, ya que llegan uno atrás de otro, generando un problema de rendimiento en el dispositivo, el cual resulta imposible utilizar.
En la siguiente imagen se puede observar que la interfaz para el envío de mensajes es bastante sencilla, en dónde el atacante ingresa la información del dispositivo al cual quiere enviar estos mensajes de spam. Para ello debe ingresar el número de teléfono, la cantidad de mensajes de texto que quiere enviar y finalmente el operador móvil de la víctima:
Una vez configurado todos los parámetros y lanzado el ataque, un contador empieza a anunciar los mensajes enviados al dispositivo móvil de la víctima:
Los mensajes de texto que recibe la víctima cuentan con un número de PIN. Este valor deber ser ingresado en una página web, o ser enviado como respuesta del mensaje falso recibido. Si el usuario realiza tal acción, su número de teléfono ha sido confirmado como válido para la alta de un servicio de mensajes de texto pago.
Al analizar el código fuente de la página, se pudo detectar que los atacantes están utilizando un número de servicios pago, para realizar el envió de los mensajes de texto. Esto comprueba una vez más, que si la víctima responde con el PIN provisto, se suscribe a un servicio premium. A continuación se puede observar la sección de código utilizada para tal fin:
Entre otra de las problemáticas que genera este tipo de ataques, tenemos que tener en cuenta que el número provisto por el atacante ha sido confirmado como válido y puede ser utilizado para futuras campañas de propagación de spam o de otro tipo de amenaza. El uso de una solución de seguridad para dispositivos móviles proveen al usuario de herramientas de detección de spam a través de mensajes de texto mediante la utilización de listas de seguridad.
Claudio Cortés Cid
Especialista de Awareness & Research