MENÚ

Cuidado con el SMS que avisa de que tu envío está en camino: no es de Correos y contiene un archivo malicioso

Publicado
Actualizado
Comparte
Etiquetas

Nos habéis preguntado a través de nuestro chatbot de WhatsApp (+34 644 22 93 19) por un SMS que supuestamente envía Correos en el que se notifica que "tu envío está en camino". El mensaje añade una URL que redirige a una página de descarga de una aplicación con el logo de la empresa de mensajería. Pero no es un SMS oficial de Correos, se trata de phishing, una técnica que busca hacerse con tus datos, y la aplicación que pide que se descargue contiene un archivo malicioso apk.

Correos afirma que se trata de un nuevo caso de robo de datos

Correos ha afirmado a Maldita.es que se trata de un nuevo caso de robo de datos y la Oficina de Seguridad del Internauta (OSI) de INCIBE asegura en un artículo que ha publicado que* "esta aplicación maliciosa realmente descarga troyanos bancarios, que tienen como finalidad robar credenciales bancarias y los mensajes que las entidades financieras puedan enviar para la confirmación de transferencias u otros movimientos". También usuarios en Twitter han notificado a la empresa de paquetería sobre la recepción de estos SMS.

Por su parte, la Policía Nacional ha emitido el 15 de enero un comunicado en el que advierte del "tremendo potencial dañino" de este archivo malicioso y recomiendan no descargar aplicaciones desde mercados no oficiales. También han alertado de esta campaña de smishing en su perfil oficial de Twitter. *

La aplicación no es la oficial de Correos y contiene archivos maliciosos

A diferencia de otros casos de phishing, en esta ocasión el SMS no llega "enviado por Correos", sino por un número particular que comienza por "+34 6...". El mensaje contiene el link a una página web (https://correos-app.com/ES31402242/#) que pide que te descargues una aplicación. No lo hagas. La aplicación no es la oficial de Correos, sino que se trata de un archivo apk malicioso, llamado Correos.apk o Correos-3.apk dirigido a dispositivos Android. El SMS llega con otro link que redirige a la misma página web (https://correos-track.com/ES31402242). También circula con esta URL (https://correos-apli.com/ES31402242) y con esta (https://correos-cdn.com/ES31402242). Pero igualmente, no descargues la aplicación. **

Captura de la página web a la que redirige el link adjuntado en el SMS.

La página web, que no es la oficial de Correos, indica en las instrucciones de descarga que para instalarla uno de los pasos necesarios es habilitar en los dispositivos Android la opción "Orígenes desconocidos" que permite la instalación de aplicaciones de origen desconocido. Esta es la primera pista que nos debe hacer sospechar sobre la dudosa fiabilidad de la aplicación. Correos cuenta con una aplicación oficial disponible en Google Play y App Store para dispositivos Android e iOS, respectivamente, por lo que no es necesario descargar ningún archivo apk.

Captura de las instrucciones indicadas para descargar la aplicación maliciosa.

Tal y como publica el portal especializado en software y descargas GenBeta, una vez instalada la aplicación, esta se hace con el control de los datos para tratar de sacar dinero de alguna cuenta o información relevante como contraseñas. Los atacantes se hacen con la lista de contactos a los que pueden enviar el SMS para seguir enviando el mensaje. Asimismo, el perfil de Twitter Malware Hunter Team, un sitio web gratuito que ayuda a las víctimas a identificar qué ransomware puede haber cifrado sus archivos, subió el 22 de diciembre una serie de capturas avisando sobre el archivo malicioso del SMS enviado en nombre de Correos.

Otra pista de que no se trata de un SMS oficial de la empresa de paquetería es que contiene faltas de ortografías, algo que en Maldita.es ya os contamos que es común en los casos de phishing.

No es la primera vez que en Maldita.es os contamos casos de phishing en los que se hacen pasar por Correos. De hecho, la misma empresa de paquetería cuenta en su página web oficial con una serie de consejos para que no seas víctima de esta técnica de robo de datos. También la Oficina de Seguridad (OSI) del Internauta publicó el pasado noviembre un aviso sobre una campaña de suplantación de identidad a Correos.

¿Qué hacer si te lo has descargado?

La Oficina de Seguridad del Internauta (OSI) de INCIBE explica que si "te ha llegado un SMS suplantando a Correos y has descargado la aplicación maliciosa, es posible que tu dispositivo haya sido infectado, por lo tanto debes eliminar la aplicación y escanearlo con un antivirus actualizado".

Si, por el contrario, no has llegado a descargar la aplicación maliciosa, aconsejan que elimines el mensaje de tu bandeja de entrada "para no instalarla por error e ir a tu gestor de archivos donde encontrarás el archivo .apk que descarga la aplicación y eliminarlo".

De forma general también recomiendan "tener copias de seguridad de tus dispositivos y realizar nuevas de forma periódica, para que si se da una situación como esta no pierdas la información ni el contenido dentro de tu dispositivo".

Cosas en las que fijarte para que no te timen

No podemos hacer que dejen de llegarte estos casos, pero sí tenemos una serie de recomendaciones que puedes seguir cuando te vuelva a llegar una supuesta alerta o sorteo que use el nombre de tu empresa de confianza.

  1. Fíjate bien en la dirección del correo electrónico. Si te llega un mensaje, presta atención a la dirección del correo que te lo envía, concretamente a lo que viene después de la "@". Si notas algo raro, borra el correo.
  2. Mira la dirección de la web a la que te redirige. Normalmente este tipo de notificaciones vienen con un link en el que te piden que introduzcas tus datos. Si la url de esta página web no es de la empresa por la que se hace pasar o es una mezcla de letras, números y el nombre de esa empresa, no introduzcas tus datos. Para ello, fíjate bien en lo que aparece antes del último punto, ese es el dominio real de la página web.
  3. Cuidado si al intentar pinchar en los elementos de la web no te dirige a ningún sitio o te pide verificar tus datos.
  4. Contrasta con las fuentes antes de dar tus datos. Estos mensajes transmiten urgencia para que no te dé tiempo a reaccionar. Recuerda que puedes preguntar a la propia compañía, a la Policía o a la Guardia Civil o a nosotros a través de nuestro servicio de WhatsApp.

Si te envían un SMS sospechoso como este recuerda que puedes contactar con la Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) o también puedes utilizar su línea de ayuda en ciberseguridad.

* Actualizado el 7/01/2021 para añadir el nuevo link que circula.

* Actualizado el 11/01/2021 para añadir dos nuevos links con los que circula.

*Actualizado el 12/01/2021 con las recomendaciones de la Oficina de Seguridad del Internauta (OSI).

* Actualizado el 15/01/2021 con la alerta y el comunicado emitido por la Policía Nacional.


Primera fecha de publicación de este artículo: 04/01/2021