Una nueva alerta por malware ha saltado en las últimas horas por el retorno de un viejo conocido, el Selfmite, un troyano para los dispositivos Android que reaparece en el escenario con una nueva versión algo más compleja y maliciosa que la anterior, en ambos casos descubierta por los compañeros de Adaptative mobile, que descubrieron a finales de junio la primera versión del gusano.

El malware Selfmite, como cualquier otro malware, virus o gusano, busca el provecho económico de sus creadores, y para ello necesita llegar e infectar al mayor numero de individuos y esa es la característica principal de Selfmite, su modo de propagación, bastante fuera de lo que estamos acostumbrados para despistar al usuario.

Para replicarse por el mundo, Selfmite utiliza el sistema de SMS estándar, algo que no es muy común y por lo tanto no está demasiado vigilado y no resulta sospechoso de cara al usuario. Cuando un terminal es infectado, el gusano lee la libreta de direcciones del terminal y automáticamente comienza su propagación, en el caso de la primera variante, Selfmite.a escogerá a 20 contactos y les enviará un SMS con nuestro nombre, cosa que hace que los receptores no sospechen, y un enlace que al ser clickado hace que se descargue e instale en ese terminal comenzando de nuevo la operación.

Si por el contrario la variante que nos infecta es la de Selfmite.b enviará un número de mensajes igual al de contactos de nuestra agenda puesto que se envía a todos y cada uno de nuestros contactos, no solo eso, sino que quedando residente repetirá la operación de forma periódica asegurándose la salida hacia nuevas posibles víctimas potenciales y es que gracias a ésto ha conseguido generar más de 150.000 mensajes en los 10 últimos días que han infectado (aproximadamente) a más de 100 tipos de dispositivos diferentes.

Los efectos que sufriremos si acabamos siendo víctimas del gusano los explican los propios descubridores

Con Selfmite.a, este ataque es mucho menos intrusivo. Abre una ventana en el navegador que, después de varias redirecciones, descarga una versión modificada de Mobomarket que da directamente beneficios a los desarrolladores de este malware. Es algo peligroso, sí, pero se encuentra mucho menos explotado de lo que podría haber estado desde el principio. Aquí nos preguntamos si Mobo es víctima por la mala imagen que consigue o interesado por esas visitas extra.

Con Selfmite.b, las cosas van mucho más allá: cuenta con un archivo de configuración que descarga automáticamente de Internet, lo cual hace mucho más complicado combatirlo. Y, hasta ahora, tenemos como extras a la primera variante la publicidad intensiva de servicios premium y una versión modificada de Google Plus.

Actualmente se han descubierto dispositivos infectados en países como Canadá,China, Costa Rica, Estados Unidos, Ghana, India, Iraq, Jamaica, Mexico, Marruecos, Puerto Rico, Rusia, Sudán, Siria, Venezuela y Vietnam pero no se descarta que con el sistema de replicación se reproduzca por otros países en los próximos días. Ahora que está a tiempo puede revisar como evitar ser víctimas de las campañas de SMS Premium, porque una vez que sea infectado un terminal, con la primera variante bastaría con desinstalar los programas extras que el malware instala, pero con la segunda solo una restauración a los valores predeterminado de fábrica conseguirá eliminar la amenaza completamente.

Como siempre en éstos casos, les recordamos desde Técnicos Web algunos consejos para evitar ser víctimas de éste tipo de amenazas.

  • Nunca instale aplicaciones desde fuera de los stores oficiales
  • Nunca abra enlaces sospechosos aunque vengan de emisores conocidos
  • Instale un antivirus reconocido y manténgalo actualizado
  • Sobre todo sea prudente y revise los permisos que reclaman las aplicaciones antes de ser instaladas.
¿Y tú, esperas a ser víctima o pondrás defensas antes del ataque?