{"id":13710,"date":"2018-11-23T09:49:56","date_gmt":"2018-11-23T15:49:56","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13710"},"modified":"2020-04-02T05:35:37","modified_gmt":"2020-04-02T11:35:37","slug":"rotexy-banker-blocker","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/rotexy-banker-blocker\/13710\/","title":{"rendered":"Rotexy: un troyano bancario y bloqueador"},"content":{"rendered":"

El malware<\/i> m\u00f3vil Rotexy, una combinaci\u00f3n entre un troyano bancario y un bloqueador ransomware<\/i><\/a>\u00a0que ha estado haciendo de las suyas \u00faltimamente. Durante agosto y septiembre, nuestros expertos registraron m\u00e1s de 40.000 intentos de implantaci\u00f3n de esta aplicaci\u00f3n maliciosa en smartphones<\/i> Android. Despu\u00e9s de publicar la informaci\u00f3n t\u00e9cnica y su historia en Securelist<\/a>, en este art\u00edculo nos encargaremos de explorar las fuentes de infecci\u00f3n y c\u00f3mo eliminarlos de forma gratuita, \u00fanicamente con un par de SMS.<\/p>\n

\"\"<\/p>\n

C\u00f3mo funciona el troyano bancario Rotexy<\/h2>\n

Rotexy se expande mediante SMS con un texto atractivo que te incita a entrar en un enlace y descargar la aplicaci\u00f3n. En algunos casos, estos mensajes se env\u00edan desde el n\u00famero de tel\u00e9fono de un amigo y esto es lo que termina por convencer a los usuarios que acaban accediendo a los enlaces.<\/p>\n

Despu\u00e9s de la infecci\u00f3n, el troyano se prepara para la siguiente acci\u00f3n. Primero, Rotexy comprueba en qu\u00e9 dispositivo se encuentra para obstaculizar la investigaci\u00f3n del antivirus. Si el malware<\/i> detecta que est\u00e1 en un emulador y no en un smartphone<\/i> real, ejecuta una y otra vez el proceso de inicializaci\u00f3n de la aplicaci\u00f3n. En la versi\u00f3n actual de Rotexy, el comportamiento es el mismo si el dispositivo parece estar fuera de Rusia.<\/p>\n

Hasta que no se asegura de que el dispositivo cuenta con los criterios b\u00e1sicos, el troyano no comienza a actuar. Primero, solicita derechos de administrador<\/a>; el usuario puede rechazarlos, pero la solicitud seguir\u00e1 apareciendo, lo que dificultar\u00e1 el uso del smartphone<\/i>. Una vez obtenidos los derechos, Rotexy informa que la aplicaci\u00f3n fall\u00f3 y oculta el icono.<\/p>\n

Acto seguido, el malware<\/i> contacta con sus propietarios y les aporta toda la informaci\u00f3n sobre el dispositivo, los cuales responden con instrucciones y una serie de plantillas y textos. Por defecto, Rotexy se comunica directamente con el servidor de mando y control, pero sus creadores han implementado otras formas de enviar \u00f3rdenes a trav\u00e9s de Google Cloud Messaging y SMS.<\/p>\n

Rotexy, el ladr\u00f3n de SMS<\/h3>\n

En lo que respecta a los SMS, Rotexy nunca tiene suficiente. Cuando un mensaje llega al tel\u00e9fono infectado, el malware<\/i> cambia el dispositivo a modo silencioso para que la v\u00edctima no se percate de la entrada de un nuevo SMS. Entonces, el troyano intercepta el mensaje, lo compara con las plantillas recibidas del servidor de comando y control y, si contiene informaci\u00f3n jugosa (por ejemplo, los \u00faltimos d\u00edgitos del n\u00famero de una tarjeta en una notificaci\u00f3n del banco), lo almacena y lo env\u00eda al servidor. Adem\u00e1s, el malware<\/i> puede responder a esos mensajes en nombre del propietario del smartphone<\/i>; de hecho, tambi\u00e9n hay plantillas para estos mensajes de respuesta.<\/p>\n

Si Rotexy no llegara a recibir plantillas o instrucciones especiales del servidor de control y mando, simplemente se limitar\u00eda a guardar toda la correspondencia que reciba el smartphone<\/i> y se la enviar\u00eda a sus creadores.<\/p>\n

Adem\u00e1s, tras la orden de los cibercriminales, el malware<\/i> puede enviar un enlace para descargar por s\u00ed mismo todos los contactos de la agenda del tel\u00e9fono, uno de los mayores vectores de propagaci\u00f3n del troyano Rotexy.<\/p>\n

Rotexy, el troyano bancario<\/h3>\n

La manipulaci\u00f3n SMS no es el \u00fanico truco que se guarda este malware<\/i> bajo su manga, de hecho, ni siquiera es el n\u00famero principal. B\u00e1sicamente, los creadores consiguen dinero robando informaci\u00f3n de tarjetas bancarias. Para ello, superpone una p\u00e1gina de phishing<\/i> en la pantalla, e incluye textos de los recibidos en los SMS interceptados. La apariencia de la p\u00e1gina puede variar, pero el prop\u00f3sito general es comunicarle al propietario del smartphone<\/i> que tiene una transferencia en espera y que debe de introducir la informaci\u00f3n de su tarjeta para recibirla.<\/p>\n

Para asegurarse, los desarrolladores del malware<\/i> incorporan un mecanismo de revisi\u00f3n para validar el n\u00famero de la tarjeta. Primero, verifica que el n\u00famero de la tarjeta sea correcto (los d\u00edgitos de las tarjetas no son aleatorios, sino que se originan seg\u00fan un criterio). Despu\u00e9s, Rotexy extrae los \u00faltimos cuatro d\u00edgitos de la tarjeta del SMS del banco y los compara con los introducidos en la p\u00e1gina phishing<\/i>. Si no concuerdan, le pide al usuario que introduzca los d\u00edgitos correctos.<\/p>\n

Rotexy, el ransomware<\/i><\/h3>\n

A veces, Rotexy recibe otras instrucciones del servidor de control y mando. Y, en lugar de mostrar una p\u00e1gina phishing<\/i>, bloquea la pantalla del smartphone<\/i> con una ventana en la que solicita el pago de una multa por haber \u201cvisualizado de forma habitual v\u00eddeos ilegales\u201d.<\/p>\n

\"\"

Rotexy imita la instalaci\u00f3n de una actualizaci\u00f3n y, despu\u00e9s, bloquea la pantalla del smartphone y le comunica al usuario que tiene que pagar una multa por ver v\u00eddeos ilegales.<\/p><\/div>\n

Para ello, adjunta una \u201cprueba\u201d fotogr\u00e1fica, una imagen de un v\u00eddeo pornogr\u00e1fico, y se hace pasar por un \u00f3rgano oficial. En concreto, Rotexy menciona a un supuesto servicio ruso del FSB encargado del control de Internet, pero en Rusia no existe ninguna unidad con ese nombre.<\/p>\n

C\u00f3mo desbloquear un smartphone<\/i> infectado con el troyano Rotexy<\/h2>\n

Tenemos buenas noticias: podemos desbloquear un smartphone<\/i> infectado y deshacernos del \u201cvirus\u201d sin tener que recurrir a un especialista. Como ya hemos mencionado, Rotexy puede recibir \u00f3rdenes a trav\u00e9s de SMS y lo bueno es que no tienen por qu\u00e9 proceder de un n\u00famero espec\u00edfico, sino que cualquiera puede hacerlo. Por tanto, si tu smartphone<\/i> est\u00e1 bloqueado y no puedes cerrar la ventana maliciosa, solo debes tomar otro tel\u00e9fono (de un amigo o familiar, por ejemplo) y seguir nuestras instrucciones:<\/p>\n