29/06/2018
Boletín de ciberseguridad
Descripción:
Después de ser instalado, Sonvpay se encarga de gestionar las notificaciones necesarias para funcionar. Algunas veces, según lo que se esté instalando en el dispositivo Android, aparecen notificaciones emergentes y en otras ninguna, dependiendo de la configuración. Lo que hace el malware es escuchar las entrantes que contienen los datos que necesita para llevar a cabo un fraude en la facturación, añadiendo cargos adicionales al usuario para generar ingresos para los ciberdelincuentes.
Una vez hayan recibido los datos, los actores maliciosos llevan a cabo un fraude en la facturación del móvil mediante el despliegue de una falsa notificación de actualización al usuario, la cual solo despierta sospechas si se ve la frase “Haga clic en Omitir para aceptar” en uno de los pasos. En caso de cumplimentarlo correctamente, Sonvpay entra en acción, suscribiendo al usuario de forma fraudulenta a un servicio de facturación WAP o SMS.
Sonvpay, malware contra Android que se ha aprovechado del tirón de la canción Despacito
Las 15 aplicaciones maliciosas utilizadas para la campaña de Sonvpay fueron descargas unas 50.000 veces y ya han sido eliminadas de la Play Store por Google tras ser notificada por McAfee, siendo la lista completa la siguiente:
Wifi-Hostpot
Cut Ringtones 2018
Reccoder-Call
Qrcode Scanner
QRCodeBar Scanner APK
Despacito Ringtone
Let me love you ringtone
Beauty camera-Photo editor
Flashlight-bright
Night light
Caculator-2018
Shape of you ringtone
Despacito for Ringtone
Iphone Ringtone
CaroGame2018
Solución:
Para evitar este tipo de engaños es muy importante fijarse en los términos de uso y en los permisos que solicitan las aplicaciones. En caso de que los términos de uso contengan partes sospechosas o la aplicación pida un permiso que no tenga sentido para su propósito, lo recomendable es no instalarla.
En caso de tener ya instaladas una o varias de las aplicaciones encargadas de escarpir Sonvpay, lo más recomendable es restaurar los parámetros de fábrica del dispositivo Android para asegurarse de que el malware se elimine totalmente.
Ante cualquier duda o aclaración comunícate con el CSIRTUV a las extensiones 11505, 11532 y 11564 o al correo contactocsirt@uv.mx
Fuente:
https://www.muyseguridad.net/2018/06/28/sonvpay-malware-wap-sms-android-despacito/
