Palo Alto Networks® (NYSE: PANW), proveedor especializado en seguridad para la empresa, alerta que un nuevo troyano, denominado Funtasy, está atacando a los usuarios españoles de Android desde mediados de abril.
Efectivamente, el pasado 7 de mayo, la plataforma WildFire de Palo Alto Networks detectó un nuevo troyano para Android cuando un cliente que estaba empleando dicha plataforma de seguridad descargó la aplicación maliciosa de Google Play Store. Desde Palo Alto bautizaron a esta familia de malware con el nombre de Funtasy, basándose en que el dominio que utiliza para registrar los teléfonos comprometidos en un servicio SMS Premium.
La primera versión detectada de Funtasy era una falsa aplicación de mando a distancia para televisiones. Dicha app, que, por supuesto no funcionaba como mando a distancia, fue cargada en Google Play el pasado 21 de abril y tuvo entre 10.000 y 50.000 descargas.
Tras esta versión, Palo Alto ha detectado 18 aplicaciones diferentes en Google Play que contienen el troyano Funtasy de entre las 13.500 y 67.000 descargas realizadas desde Google Play Store. Usando este troyano, el atacante puede generar hasta 30 Euros al mes para cada uno de los 67.000 móviles infectados, lo que equivaldría a unos dos millones de Euros al mes.
Puesta en escena
Funtasy está arremetiendo en este momento contra los usuarios de múltiples redes móviles españolas y una australiana.
Palo Alto ha tenido acceso al texto extraído del código fuente con los términos y condiciones de servicio:
Servicio de suscripción para usuarios Movistar, Vodafone, Orange, Yoigo, R y Simyo para mayores de edad o menores con capacidad legal para contratar, prestados por (FUNTASY MOBILE S.L., operador titular ARGATEL SOLUTIONS SL, n. atención al cliente 902 303 803 ó [email protected], apartado de correos 167, 17001 Girona. Coste por SMS recibido 1.46 euros/sms (IVA incluido) más el coste de navegación WAP, que dependerá del operador que tenga contratado. Máximo 10 sms/semana. El límite máximo de facturación del servicio puede variar en función de tu operador (18 a 30 euros/mes). Baja automática para cancelar el servicio: envía BAJA al 797977.
Cualquier usuario que lea este mensaje y lo entienda, es improbable que acepte los términos de uso, pero Funtasy no espero a que el usuario consienta. Mientras que el mensaje de términos de servicio está en pantalla, el troyano comprueba en un segundo plano si el teléfono está conectado a una red de telefonía móvil. Una vez que la aplicación comprueba que el terminal está en la red correcta, busca el número de teléfono de diversas maneras.
Una vez capturado el número del teléfono, Funtasy registra la cuenta móvil con un servicio SMS Premium a través de la siguiente URL
http://funtasymobile.com/alertas_alta_web.php
Esta petición la hace sin el conocimiento del usuario. Este no tiene la opción de seleccionar un número de teléfono. Por supuesto, los servicios SMS Premium requieren que el usuario confirme que se quiere dar de alta enviando un SMS al teléfono con un PIN. Funtasy intercepta este mensaje, extrae el PIN y lo envía de vuelta al servidor de registro, finalizando el alta en el servicio.
Por supuesto, el usuario empieza a recibir mensajes SMS, que harían que el usuario se diera de baja de un servicio que nunca han requerido. Pero para evitar esto, Funtasy bloquea los mensajes SMS entrantes, antes de que se muestren, y modifica la marca de tiempo de los mismos para que parezca que se han recibido 15 días antes. Esto hace que se queden en el buzón de entrada de mensajes y hace improbable que el usuario lo aprecie.
Los usuarios que se quieren proteger contra el troyano Funtasy, no deberían de utilizar antivirus tradicionales, ya que no detectan este tipo de amenazas, la mejor defensa contra este tipo de programas es el sentido común.
Puede obtener más información sobre “Funtasy” en:
