Llamadas con WhatsApp : Un phishing con estadísticas en tiempo real que distribuye malware para Android

Nuevas apps para Android que vienen con RATs (Remote Administration Tools), y que estan siendo distribuidas a través de Google Play.

Existe una campaña de sitios de phishing que se han publicado en múltiples dominios creados para la ocasión, como son Whatsappsite.com, WhatsAppVid.com, WhatsAppCallsInvitation.com o WhatsAppCallsInvite.com. Todos estos sitios están incitando a viralizar la inclusión de más contactos en esta falsa campaña distribuyendo un mensaje que supuestamente permite conseguir acceso a la función de WhatsApp Llamadas para realizar llamadas gratis. Por supuesto, el objetivo de todo esto no es otro que infectar a los usuarios con apps maliciosas.

El aspecto que tienen los sitios de la campaña, además de los que han sido infectados, es el que se puede ver a continuación. En el solo hay dos botones, para invitar y para continuar el proceso. El segundo de los botones no permite continuar si no se ha realizado antes el proceso de invitar. Si te conectas con uno de los navegadores habituales, a día de hoy el sitio sale marcado como un sitio malicioso, pero si te conectas por alguna navegador sin protección de sitios antiphishing, no dará ninguna alerta.

Figura 1: Mensajes de Phishing utilizado en los sitios webs para distribuir el malware
Si pulsas a invitar, podrás ver que el objetivo es conseguir que se abra dentro de WhatsApp y se envíe a más contactos para que visiten, también desde WhatsApp, este mismo sitio de phishing.

Figura 2: El hipervínculo que sale cuando se da a “Invite Now”

Para saber cómo les está yendo el negocio, los responsables de la campaña están utilizando paneles de control de estadísticas, que se pueden ver en las páginas de phishing. Esto no es muy común, pero si miras en el código fuente de WhatsAppSite.com puedes ver el siguiente script.

Figura 3: Script de estadísticas para contabilizar cuánta gente visita el sitio de phishing
Esto hace referencia a un panel de estadísticas en la web Amung.us que está disponible online, y donde se puede ver en tiempo real cómo las víctimas se conectan a los diferentes portales y el número de ellos a los que ha alcanzado la campaña.

Figura 4: Panel de estadísticas de WhatsAppSite.com en Among.us

También se puede ver por donde se ha distribuido geográficamente, con lo que se tiene una idea de cuál es el objetivo inicial de la misma y cómo va evolucionando.

Figura 5: Distribución de las víctimas en tiempo real. Muchas en Latinoamérica y España
Se avísa a quienes usan Android de que tengan mucho cuidado si les llega una de estas invitaciones. A día de hoy se está aprovechando del buzz mediático de cualquier tema para hacer este tipo de campañas de malware – y no se iba a desperdiciar el interés que despierta WhatsApp -así que hay que tener mucha prudencia con cualquier mensaje que llegue similar a estos.

Ver información original al respecto en Fuente:
http://www.elladodelmal.com/2015/03/whatsapp-llamadas-un-phishing-con.html