martes, marzo 31, 2015

WhatsApp Llamadas: Un phishing con estadísticas en tiempo real que distribuye malware para Android

Ayer, en el blog de Eleven Paths, nuestro compañero hacía una reflexión sobre las apps para Android que venían con RATs (Remote Administration Tools), y que estaban siendo distribuidas a través de Google Play. Hoy, siguiendo con el malware, quiero hablar por aquí de una campaña de sitios de phishing que se han publicado en múltiples dominios creados para la ocasión, como son Whatsappsite.com, WhatsAppVid.com, WhatsAppCallsInvitation.com o WhatsAppCallsInvite.com. Todos estos sitios están incitando a viralizar la inclusión de más contactos en esta falsa campaña distribuyendo un mensaje que supuestamente permite conseguir acceso a la función de WhatsApp Llamadas para realizar llamadas gratis. Por supuesto, el objetivo de todo esto no es otro que infectar a los usuarios con apps maliciosas.

Figura 1: Campaña de phishing de WhatsApp Llamadas distribuye malware

El aspecto que tienen los sitios de la campaña, además de los que han sido infectados, es el que se puede ver a continuación. En el solo hay dos botones, para invitar y para continuar el proceso. El segundo de los botones no permite continuar si no se ha realizado antes el proceso de invitar. Si te conectas con uno de los navegadores habituales, a día de hoy el sitio sale marcado como un sitio malicioso, pero si te conectas por alguna navegador sin protección de sitios antiphishing, no dará ninguna alerta.

Figura 2: Mensajes de Phishing utilizado en los sitios webs para distribuir el malware

Si pulsas a invitar, podrás ver que el objetivo es conseguir que se abra dentro de WhatsApp y se envíe a más contactos para que visiten, también desde WhatsApp, este mismo sitio de phishing. 

Figura 2: El hipervínculo que sale cuando se da a "Invite Now"

Para saber cómo les está yendo el negocio, los responsables de la campaña están utilizando paneles de control de estadísticas, que se pueden ver en las páginas de phishing. Esto no es muy común, pero si miras en el código fuente de WhatsAppSite.com puedes ver el siguiente script.

Figura 3: Script de estadísticas para contabilizar cuánta gente visita el sitio de phishing

Esto hace referencia a un panel de estadísticas en la web Amung.us que está disponible online, y donde se puede ver en tiempo real cómo las víctimas se conectan a los diferentes portales y el número de ellos a los que ha alcanzado la campaña.
También se puede ver por donde se ha distribuido geográficamente, con lo que se tiene una idea de cuál es el objetivo inicial de la misma y cómo va evolucionando.

Figura 5: Distribución de las víctimas en tiempo real. Muchas en Latinoamérica y España

Si tienes amigos y conocidos, avísale de que tenga mucho cuidado si le llega una de estas invitaciones. A día de hoy se está aprovechando del buzz mediático de cualquier tema para hacer este tipo de campañas de malware - y no se iba a desperdiciar el interés que despierta WhatsApp -así que hay que tener mucha prudencia con cualquier mensaje que llegue similar a estos.

Saludos Malignos!

14 comentarios:

Anónimo dijo...

Estos malotes se las saben todas, anda que han tardado en aprovechar el tema, he?

Muchas gracias por la info ;-)
Saludos¡

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Unknown dijo...

Hola,

he recibido un mensaje pero la dirección es: http://fullapps.es/whatsapp/ y ni chrome ni firefox me dan ningun warning al entrar. Asi que tener cuidado con esta tambien.

Se las saben todas.

SeD MaloS

Dedurk dijo...

Que puedes recomendar a los usuarios que ya abrieron el link?

Anónimo dijo...

Un post que muchos deberían leer. Hace un día un amigo me mando un cadena de esas por Whatsapp que te pedía compartir para activar nuevas funciones (que ya suena a pitoreo) pero encima el enlace era uno de los que has nombrado, por lo que lo avise. Sin embargo era tarde, ya probo a entrar... lo bueno es que por suerte tenía una app de seguridad en el smartphone y lo salvó.

Hoy ya están llegando las llamadas de forma oficial y de manera automática a todos, así que esto ya no es problema. Aunque, no han tardado en innovar como se puede apreciar en las nuevas alertas, que ahora piden una 'actualizacion':
http://computerhoy.com/noticias/apps/cuidado-estafa-whatsapp-del-mensaje-actualizacion-26323

Saludos}:)

rubn dijo...

Pues el whois está a nombre de un tal Luis Carlos Medina, imagino que será falso..jaja

Anónimo dijo...

por aca en Colombia estan usando http://whatsappcallinvite.mzzhost.com/
que no esta reportada por virus total ni los filtros antiphishing... el counter esta en http://whos.amung.us/stats/maps/b1suensgd5d5/

Anónimo dijo...

A mi, de repente se me activo la funcion. Sin descargar nada, ni siquiera actualizacion de whatsapp ni nada. Saben por que?

LionSec dijo...

En este momento hay más de 2000 personas que accedieron a la página. Muchas Gracias por esta información.

Tapia Ramírez dijo...

Hola u_u yo por accidente abrí el link en mi celular y desde que lo abrí he recibido muchas llamadas de numeros desconocidos ¿esto tiene algo que ver? :/ y se puede eliminar el malware de mi teléfono?

Anónimo dijo...

y que pasa con esp de que te llaman y automaticamente se actualiza?? a mi me anda todo normal y no recibo llamadas de descpnocidos, pero me preocupa igual ya que me enviaron un audio donde explicaban todo... np abri ningun link nada. solo me llamaron y se actualizo. eso si anda horrible y no se escucha..

Liss dijo...

por favor que alguien explique como eliminar el virus para quien entro al link, mi antivirus no me advirtio de nada, asi que no se si lo tengo o no.

Anónimo dijo...

entre al link, comparti con 10 contactos el link y ahora mi iphone esta jodido, que peudo hacer?

Braulio Flores dijo...

Gracias por esta información excelente blog saludos maligno desde Ecuador!

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares