Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

Correos Tu envío está en camino

Ya han sido varios clientes los que nos han reportado el sms de “Correos” que exponemos en la cabecera de este post, pero justo ayer una mujer un poco angustiada que nos consultaba sobre la peligrosidad del sms ya que ella sí hizo click en el enlace.

Todos sabemos que es un fraude y que no debemos hacer nunca click, pero por si acaso, hemos decidido analizar un poco más a ver qué hay detrás de este sms.

Lo primero que hemos hecho es recomendarle a la mujer (ya que venía de parte de un cliente) lo siguiente:

  • Alertar a su banco de posibles movimientos fraudulentos en los próximos días
  • En la medida de lo posible, dar de baja las tarjetas bancarias, ya que tenía más de una aplicación instalada en su smartphone que las utilizaban
  • Cambiar todas las contraseñas, las correspondientes a apps de bancos y cualquier otra, redes sociales por ejemplo.
  • Limpiar el smartphone (de esta y otras apps maliciosas)

Además de esto, hemos analizado un poco el mensaje: Correos: Tu envío está en camino: https://correos-apli.com/ES31402242.

Lo primero obviamente es crear un entorno aislado y controlado para simular el funcionamiento de todo el proceso.

Hemos iniciado un Burp y lo hemos puesto para que intercepte todo el tráfico. En un navegador hemos accedido a la dirección que venía en el mensaje

Correos: Tu envío está en camino: https://correos-apli.com/ES31402242

Como vemos en la captura, ya podemos identificar en qué ubicación se encuentra el servidor de la supuesta aplicación de correos.

Correos: Tu envío está en camino: https://correos-apli.com/ES31402242

Geolocalizamos la ip que nos había devuelto el Burp y vemos que el servidor de la supuesta aplicación de correos está en Singapore y como es de imaginar, eso ya es indicio más que suficiente (si todavía había dudas) de que el mensaje no ha sido enviado por Correos ya que su sede está en Madrid y sus servidores apostaría a que están en España.

Vemos que no nos arroja más información y eso es, porque el servidor está configurado para que sólo responda peticiones desde dispositivos móviles y no desde ordenadores, así que nos cambiamos el user-agent de nuestra aplicación y simulamos que estamos accediendo al mismo enlace mediante un iPhone.

Correos: Tu envío está en camino: https://correos-apli.com/ES31402242

Y ahora sí obtenemos respuesta.

Examinando el código fuente de la respuesta encontramos el apk que se descargaría si hubiéramos hecho click en el mensaje tal y como hizo la mujer que nos llamó.

Correos: Tu envío está en camino: https://correos-apli.com/ES31402242

Volvemos a insistir en que este mensaje de Correos es un fraude y por tanto esta apk no es legítima.

Lo primero que hemos hecho es pasarle un análisis online

Correos: Tu envío está en camino: https://correos-apli.com/ES31402242

Siendo la primera prueba más que concluyente, 7 motores de antivirus han dado positivo en malware.

No obstante queremos ver un poco más y le realizamos un poco de ingeniería inversa a al apk correos-2.apk, vemos los permisos a los que accede la apk cuando nos la descargamos y la instalamos.

Correos: Tu envío está en camino: https://correos-apli.com/ES31402242

Entre los que se encuentran, acceso a internet, leer contactos, leer y escribir sms, evitar que el dispositivo se bloquee, entre otros. El que más nos ha gustado es el permiso para que la aplicación se inicie cada vez que arranque el dispositivo.

Correos: Tu envío está en camino: https://correos-apli.com/ES31402242

Podemos tener algunos indicios de donde proviene la aplicación debido a esos caracteres “raros” que observamos en la imagen anterior.

Sin entrar en muchos más detalles, ya tenemos indicios más que suficientes para afirmar que la aplicación “correos-2.apk” no es legítima.

Comparte este artículo para mejorar la calidad del blog…

WhatsApp
Facebook
Twitter
LinkedIn
Telegram
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: info@afsinformatica.com

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor