Mazar Bot es una nueva amenaza de la que habrá que tener cuidado en adelante, se trata de un malware que, en caso de infectar a nuestro dispositivo, puede tener un control total de los archivos, puede borrar, mover, editar y además interceptar las llamadas y mensajes de texto.
La empresa responsable de este descubrimiento es Heimdal Security, dedicada a la investigación de seguridad informática. En una reciente entrada en su blog, los responsables explican que el fin de semana pasado habían descubierto una amenaza, que por lo que dicen, es una de las más peligrosas de las descubiertas hasta el momento en Android. La principal amenaza es su diseño bien trabajado, Mazar Bot puede poner a sus víctimas en serios problemas si así lo desea, el usuario afectado puede perder dinero, ya que puede controlar el dispositivo a su gusto, y si hay algún tipo de información vinculada con cuentas bancarias o tarjetas de crédito, estaría en peligro, inclusive es capaz de interceptar datos personales.
Su método de propagación es el siguiente; Mazar Bot es enviado a través un fichero con extensión APK (la extensión por defecto de las aplicaciones instalables en Android) mediante un mensaje de texto con un enlace en su interior. Si el usuario ingresa al vínculo proporcionado en el mensaje estaría descargando e instalando el malware en su dispositivo. En principio la amenaza solo se encuentra en inglés, pero no se descarga que evolucione y se expanda a más idiomas.
El mensaje de texto dice algo así como: “You have received a multimedia message from +(country code) (sender number) Follow the link hxxp: //***.mmsforyou.***/mms.apk to view the message.”
Lo que en español sería: “Has recibido un mensaje multimedia del número +(código del país) (número de teléfono). Accede al enlace hxxp: //***.mmsforyou.***/mms.apk para ver el mensaje.”
Si el usuario comete el error de descargar e instalar esta aplicación maliciosa, le concederá al cibercriminal el control total del dispositivo. La aplicación se camufla con el nombre “MMS Messaging”, para despistar al usuario y hacerle creer que necesita descargar una aplicación de MMS para ver el contenido, pero la sorpresa está en los permisos que pide para su instalación, cosa que nunca leen las personas. Una vez instalado y como se explica en los permisos, el malware podrá realizar llamadas, compras con tarjetas de crédito (en caso de tenerlas vinculadas al dispositivo), enviar mensajes, acceder a Internet, e inclusive borrar archivos del almacenamiento interno.
Otra característica importante de Mazar Bot es la de poder leer los códigos que pertenecen a la autenticación en dos pasos utilizados por el usuario, los hackers serán capaces de descifrar este tipo de seguridad y podrán enviar mensajes a los números de los canales usados por los cibercriminales. La razón por la cual este malware se cataloga como el más peligroso hasta el momento, es porque los datos que recoge de sus infecciones son enviados a un servidor de control alojado en la red Tor, esto le garantiza a los cibercriminales un total anonimato para poder operar. Al contrario de otras amenazas que tienen sus bases en países de todo el mundo, alojar sus servidores en la red Tor es una medida de seguridad extra para protegerse, ya que es una red anónima donde nuestra identidad es desconocida.
¿Mazar Bot es un malware reciente? La respuesta es no, por lo menos no es de lo que va del 2016, la primera pieza detectada de esta amenaza se registró en noviembre de 2015, pero en aquellos tiempos únicamente circulaba por el mercado negro de malware ruso, y ahora está expandiéndose por todo el mundo y puede ser una amenaza para cualquier usuario, según Recorded Future.
Más datos interesantes, a pesar haber circulado en el mercado negro ruso, el malware no se encuentra en ese idioma, y cuando infecta a un dispositivo, envía un mensaje de texto a un número ubicado en Irán con el mensaje “thank you”, incluyendo información sobre la localización de la víctima infectada, sin lugas a dudas, muy sospechoso. Por último se destaca la posibilidad de hacer ataques man-in-the-middle, un tipo de ataque que permite a Mazar Bot interceptar el tráfico que generan sus víctimas sin su consentimiento, con el fin de desviar la información y realizar transacciones fraudulentas en caso de utilizar la banca online.
Hasta ahora es lo único que se sabe sobre Mazar Bot, y no debería tardar en expandirse a todo el mundo en el correr de los meses. Sin dudas tratar de infectar a un usuario utilizando la ingeniería social es un método que aún sigue siendo efectivo y lo seguirá siendo, hay que tener mucho cuidado porque si bien el malware se distribuye por mensajes de texto, no sería descabellado que se pase a WhatsApp u otro servicio de mensajería.
La mejor manera de protegerse de este tipo de amenaza es tener mucho cuidado con el tipo de mensajes que recibimos. Los vínculos que se incluyen en los mensajes nunca deben ser abiertos, a menos que el remitente sea un amigo de confianza, porque en muchos casos, sus dispositivos pueden estar infectados y enviar mensajes automáticos.
Hay una opción fundamental en los dispositivos Android que debe estar desactivada por defecto, solo aquellos usuarios avanzados que saben a qué se enfrentan la activan en determinada ocasión. Se trata del apartado “Permitir la instalación de aplicaciones de origen desconocido”, se encuentra en Ajustes > Seguridad, allí está la opción “Orígenes desconocidos” que deberá estar desactivada para evitar que cualquier aplicación que no sea procedente del Play Store sea instalada en el equipo. Si bien no todas las aplicaciones por fuera del Play Store son un malware, es recomendable tener mucho cuidado con su instalación, ya que podría en riesgo la seguridad del dispositivo.