MKero

¿Qué es?

MKero es un malware de tipo troyano genérico con características de mensajería SMS, que se enfoca en infectar dispositivos Android para suscribirlos de forma encubierta a servicios de tarificación adicional (premium-rate) y generar a los atacantes un beneficio económico a través del fraude por SMS Premium. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar ataques de manera distribuida.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Suscribe silenciosamente a los usuarios a servicios SMS Premium sin su conocimiento ni consentimiento.
Carga páginas web de suscripción recibidas desde una infraestructura de mando y control (C2) y automatiza el flujo de su alta.
Extrae el CAPTCHA del formulario y lo envía a un servicio externo para obtener su solución rápidamente y completar la suscripción.
Permite la elevación de privilegios y la administración de dispositivos para mantener el control y dificultar su detección.
Lee y parsea SMS de verificación para obtener códigos o enlaces de activación y finalizar el proceso.
Realiza acciones de control en los dispositivos afectados como abrir enlaces web de activación y enviar SMS.
Permite bloquear y/o ocultar notificaciones relacionadas con los servicios suscritos.
Emplea ofuscación y lógica de conmutación entre múltiples servidores de mando y control (C2) para mantener el control y complicar el análisis y su detección.

Sistemas afectados

Los principales dispositivos afectados son:

Dispositivos con sistemas Android.

¿Cómo me infecta?

Este malware infecta a los dispositivos a través de aplicaciones infectadas o maliciosas en Google Play y en tiendas de terceros que se camuflan como juegos y a través de publicidad engañosa (malvertising) en sitios web comprometidos.