Ya han sido varios clientes los que nos han reportado el sms de “Correos” que exponemos en la cabecera de este post, pero justo ayer una mujer un poco angustiada que nos consultaba sobre la peligrosidad del sms ya que ella sí hizo click en el enlace.
Todos sabemos que es un fraude y que no debemos hacer nunca click, pero por si acaso, hemos decidido analizar un poco más a ver qué hay detrás de este sms.
Lo primero que hemos hecho es recomendarle a la mujer (ya que venía de parte de un cliente) lo siguiente:
- Alertar a su banco de posibles movimientos fraudulentos en los próximos días
- En la medida de lo posible, dar de baja las tarjetas bancarias, ya que tenía más de una aplicación instalada en su smartphone que las utilizaban
- Cambiar todas las contraseñas, las correspondientes a apps de bancos y cualquier otra, redes sociales por ejemplo.
- Limpiar el smartphone (de esta y otras apps maliciosas)
Además de esto, hemos analizado un poco el mensaje: Correos: Tu envío está en camino: https://correos-apli.com/ES31402242.
Lo primero obviamente es crear un entorno aislado y controlado para simular el funcionamiento de todo el proceso.
Hemos iniciado un Burp y lo hemos puesto para que intercepte todo el tráfico. En un navegador hemos accedido a la dirección que venía en el mensaje

Como vemos en la captura, ya podemos identificar en qué ubicación se encuentra el servidor de la supuesta aplicación de correos.

Geolocalizamos la ip que nos había devuelto el Burp y vemos que el servidor de la supuesta aplicación de correos está en Singapore y como es de imaginar, eso ya es indicio más que suficiente (si todavía había dudas) de que el mensaje no ha sido enviado por Correos ya que su sede está en Madrid y sus servidores apostaría a que están en España.
Vemos que no nos arroja más información y eso es, porque el servidor está configurado para que sólo responda peticiones desde dispositivos móviles y no desde ordenadores, así que nos cambiamos el user-agent de nuestra aplicación y simulamos que estamos accediendo al mismo enlace mediante un iPhone.

Y ahora sí obtenemos respuesta.
Examinando el código fuente de la respuesta encontramos el apk que se descargaría si hubiéramos hecho click en el mensaje tal y como hizo la mujer que nos llamó.

Volvemos a insistir en que este mensaje de Correos es un fraude y por tanto esta apk no es legítima.
Lo primero que hemos hecho es pasarle un análisis online

Siendo la primera prueba más que concluyente, 7 motores de antivirus han dado positivo en malware.
No obstante queremos ver un poco más y le realizamos un poco de ingeniería inversa a al apk correos-2.apk, vemos los permisos a los que accede la apk cuando nos la descargamos y la instalamos.

Entre los que se encuentran, acceso a internet, leer contactos, leer y escribir sms, evitar que el dispositivo se bloquee, entre otros. El que más nos ha gustado es el permiso para que la aplicación se inicie cada vez que arranque el dispositivo.

Podemos tener algunos indicios de donde proviene la aplicación debido a esos caracteres “raros” que observamos en la imagen anterior.
Sin entrar en muchos más detalles, ya tenemos indicios más que suficientes para afirmar que la aplicación “correos-2.apk” no es legítima.