El troyano FakeInst envía mensajes comerciales de texto e intercepta mensajes entrantes.
Kaspersky informó que el troyano SMS Trojan-SMS.AndroidOS.FakeInst.ef, lleva 14 versiones distintas y ha atacado a usuarios en 66 países, incluyendo Argentina, Bolivia, Brasil, Chile, Colombia, Ecuador, México, Perú y Venezuela.
En las primeras versiones del troyano sólo se eviaban mensajes a números comerciales en Rusia, pero a mediados de 2013 aparecieron otros países en la “lista de soporte”. Kaspersky indica que la mayoría de las infecciones causadas por Trojan-SMS.AndroidOS.FakeInst.ef ocurrieron en Rusia y Canadá.
FakeInst hace pasar como una aplicación para ver videos pornográficos. La aplicación pide al usuario que acepte enviar un mensaje de texto para comprar contenidos; después de enviar el mensaje, el troyano abre un sitio de libre acceso.
Para enviar el mensaje, el troyano descifra un archivo de configuración que contiene los números y prefijos telefónicos. De la lista, FakeInst selecciona los números y prefijos apropiados para el código de país para el móvil del usuario (MCC).
Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina, comentó que FakeInst es capaz de enviar 3085 diferentes modificaciones de textos que lucran a través del saldo de la víctima trayendo las ganancias ilícitas a los hackers.
En México, el troyano envía mensajes a un número de 5 dígitos, en Chile a un número de 4 dígitos, en Brasil a un número de 5 dígitos, y lo mismo en Argentina. En el Ecuador, Perú, Colombia y Venezuela el troyano envía mensajes a un número corto de 4 dígitos, y en Bolivia se envían a un número de 3 dígitos.
El troyano también se comunica con su servidor de control y comando para recibir más instrucciones; de todos los comandos que recibe y procesa, se tiene la habilidad para enviar un mensaje con contenido específico a un número que aparece listado en el comando del C&C, y para interceptar mensajes entrantes. El troyano puede robar, eliminar o responder los mensajes.