Alertan de estafas telefónicas que suplantan al BBVA y a la empresa
de paquetería Fedex

La Ertzaintza ha alertado de dos intentos de estafa telefónica que tienen como principal objetivo a la clientela del BBVA y a personas usuarias del servicio de paquetería Fedex. En ambos casos, se suplanta la identidad de las empresas para acceder a los datos bancarios y tomar el control del dispositivo móvil.

El caso que afecta al BBVA se está registrando especialmente en Bizkaia. Según las denuncias registradas, se recibe un mensaje de texto que procede, supuestamente, de la entidad bancaria a la que se suplanta notificando un intento de acceso a sus cuentas, incluyendo el enlace ‘http:/tudatos.unaux.com/bbva’ para introducir los datos bancarios.

Los clientes, minutos después de clicar el enlace, reciben una llamada telefónica procedente de un número de teléfono presuntamente suplantado por los estafadores, el 91 224 94 26, indicándoles que deben verificar los movimientos fraudulentos realizados, con el fin de cancelarlos, para lo que tienen que introducir diferentes códigos facilitados por los emisores de la llamada.

Tras ello, y continuando con el engaño, el supuesto importe monetario debe reintegrarse en sus cuentas bancarias en un plazo breve de tiempo. Ese ingreso nunca se produce y lo que en realidad se ha realizado es el acceso de los estafadores a las cuentas bancarias de las personas afectadas.

El equipo de investigación de la Ertzaintza ha contactado con los servicios de seguridad de la entidad bancaria para coordinar el trabajo. Actualmente, el número de atestados abiertos en diferentes Ertzain-etxeas en el territorio de Bizkaia se aproxima a la treintena.

Instalación de un troyano

En el timo relacionado con la empresa de paquetería se produce un envío masivo de SMS a teléfonos móviles Android indicando la llegada de un envío. Para poder rastrear este paquete indican la necesidad de descargarse una aplicación.

La dirección de la descarga no apunta al repositorio de Play Store, ni siquiera a una página oficial de Fedex. Si la victima accede a este enlace sale una página con instrucciones para descargarse la pretendida aplicación (que en realidad es un troyano bancario). Como no es un repositorio oficial, el sistema de seguridad de Android avisa de los riesgos de esta instalación y la bloquea.

En esa página se dice expresamente que Android la bloqueará, pero aportan instrucciones para desbloquear este sistema de seguridad. Una vez instalada la aplicación, solicita al usuario permiso para poder realizar prácticamente cualquier acción, desde enviar y recibir sms, hasta ver las fotos.

Lo primero que hace la aplicación es conectarse con el centro de control para descargarse nuevas instrucciones, así como para remitir la lista de contactos del dispositivo y las aplicaciones bancarias instaladas en el teléfono. Con esta información los delincuentes le envían las páginas personalizadas de los bancos afectados. Cuando la víctima intenta hacer uso de su aplicación bancaria, el troyano le muestra la página falsa para quedarse con sus credenciales.

Paralelamente el móvil envía mensajes a todos los contactos del teléfono para seguir con la captación de víctimas. Se han detectado casos de envíos de más de 1000 sms, que además la compañía telefónica, en el caso de no tener este servicio gratuito, le cargará en la factura. Cuando la aplicación es descubierta por las víctimas, se resiste a la desinstalación siendo necesario en ocasiones resetear el dispositivo a valores de fábrica.