Repunte de mensajes SMS que suplantan a Correos para propagar troyanos bancarios

ESET España lleva varias semanas siguiendo la pista a una campaña de propagación de troyanos bancarios que tiene a usuarios españoles entre sus objetivos. 

De todas estas campañas, la que más éxito está obteniendo es la que se hace pasar por Correos España, y son bastantes los usuarios que ya han caído en esta trampa. Este fin de semana se ha observado un importante repunte de este ataque.

Esta campaña utiliza mensajes SMS suplantando la identidad de Correos e indicando a sus receptores que tienen un envío de camino a su casa, proporcionando además un enlace sobre el que pulsar. 

El enlace proporcionado redirige a una URL preparada por los delincuentes que simula ser una web oficial perteneciente a Correos, usando incluso su logotipo. 

En esta web se nos muestra un supuesto número de envío y se nos invita a descargar una aplicación para realizar el seguimiento. Además, se ofrecen instrucciones para instalar la aplicación desde orígenes desconocidos, ya que, por defecto, Android bloquea estas aplicaciones si no se descargan desde un mercado de aplicaciones oficial.


Los dominios utilizados en las campañas de propagación de esta amenaza durante el pasado fin de semana fueron registrados hace pocos días, siendo dominios como “Correos-Cdn[.]com” o “Correos-AplI[.]com” los utilizados para alojar tanto la web fraudulenta como las aplicaciones maliciosas (fueron descubiertos en primera instancia por investigadores como @malwrhunterteam). Además, ambos dominios fueron registrados en el mismo registrador, ubicado en Rusia.


El gancho utilizado por los delincuentes en estas campañas está siendo muy efectivo no solo en España, puesto que ya se han detectado campañas similares en otros países, y es algo que venimos observando desde hace tiempo en la propagación de troyanos bancarios mediante el envío de emails.