Los troyanos nos persiguen allá donde vamos, de manera sigilosa y si que nos demos la menor cuenta de dónde se puede estar ocultando. Esto les permite transformarse con diferentes apariencias, y ser más escurridizos de lo que nos gustaría. Eso es lo que está pasando precisamente con un veterano troyano que ahora se está reinventando, y conocido como Mekotio.

La labor de las empresas de seguridad es esencial a la hora de poder detectar este tipo de comportamientos opacos, y de los que no se puede esperar nada bueno. Y eso es lo que ha compartido con nosotros ahora ESET, una de las firmas de ciberseguridad más conocidas y con mejor reputación.

Mekotio está de vuelta

En su blog, ESET nos ha mostrado cómo este troyano ya está haciendo de las suyas, intentando expandirse por los dispositivos de miles de usuarios con unas técnicas que son bastante familiares para muchos de nosotros. Y es que como solemos decir, para infectarnos es necesario que seamos cómplices involuntarios de los ataques. Eso es lo que pasa en este caso también, ya que se infecta a las víctimas porque sí, sino porque estas pican en el anzuelo y descargan los archivos maliciosos.

troyano

ESET lo describe muy bien, son viejas técnicas para atacar a nuevas víctimas. Por esa razón en la mayoría de los casos la amenaza llega desde un correo electrónico. Este básicamente simula ser el de una factura electrónica que nos han remitido a través del correo. Esto es una simple excusa para que pulsemos sobre el correo y pensando que es un archivo más, pulsemos sobre los enlaces que vienen dentro del correo electrónico. Cuando se pulsa sobre el enlace, comienza la descarga de un archivo ZIP, dentro del cual hay a su vez un archivo LNK, que es donde realmente reside el malware.

troyano

Este archivo ejecuta una cadena de comandos que contienen el malware, y que descarga desde un servidor remoto en poder de los atacantes un segundo script que culmina la infección de teléfono.

España entre los países afectados

Como ha descubierto ESET, dentro de ese Script se pueden apreciar algunos detalles determinados sobre la actividad del malware. Como que además de a España, este ha sido orientado su actividad a países como Brasil, Chile, Argentina, México, Colombia, Ecuador, Perú y España. En las líneas de código analizadas por ESET, se ha podido descubrir un cifrado adicional del payload que podría dar pie en el futuro a una detección mucho más difícil de este troyano. Por tanto aunque sea un malware veterano, ha mutado lo suficiente como para que pueda ser más escurridizo en el futuro.

SMSFactory

Pero en lo inmediato, este archivo que descargamos es el que desencadena la reacción que termina con el troyano Mekotio en nuestro teléfono integrado, y lo peor de todo, oculto para que no sepamos tan siquiera que está haciendo de las suyas en nuestro teléfono móvil o PC. Como buen troyano bancario, ha sido diseñado para robarnos las credenciales de una u otra manera, y por tanto, nuestro dinero, si es que en ese banco tenemos nuestros ahorros guardados.