La firma de seguridad estadounidense Resecurity ha identificado la existencia de un nuevo kit de smishing (para el phishing a través de SMS) conocido como 'Panda Shop'. Este se basaría en los mismos principios usados por la Smishing Triad y también tiene sus orígenes en China (la referencia al oso panda lo deja claro).
La herramienta, en cuanto a la estructura del kit y los escenarios de scripting analizados, imita el producto de la 'Triada del smishing', aunque incluye mejoras específicas y nuevas plantillas compatibles.
Resecurity fue la primera que dio la voz de alarma sobre Smishing Triad en agosto de 2023, llegando a localizar el kit de smishing que usaban. Curiosamente este tenía una vulnerabilidad que expuso a los actores de amenazas y su infraestructura.
Desde entonces dicho grupo se habría vuelto más sigiloso y opera con distintos asociados que ostentan diferentes roles.
Ambas son amenazas bastante peligrosas, porque abren las puertas a otros cibermalos sin muchos conocimientos o recursos a realizar ataques. Al servirse de un modelo Crime-as-a-Service (delito-como-servicio) cualquiera puede disponer de este 'arma' por un módico precio. Así, fácilmente pueden escalar sus operaciones dirigidas a consumidores en distintos países.
La compañía americana ha encontrado varios actores que aprovecha el kit de smishing de Panda Shop para Google Wallet y Apple Pay, recopilando datos tradicionales de tarjetas de crédito y detalles personales e interceptando transacciones.
Por otro lado, los investigadores han señalado que, además de que Google RCS y Apple iMessage se utilizan como los principales métodos de entrega de smishing, el grupo también utiliza pasarelas de SMS, equipos especializados para los operadores de red.
Las empresas de telemarketing también se sirven de dispositivos similares para enviar mensajes a los suscriptores móviles con fines legítimos, lo que parece ser usado por los ciberdelincuentes chinos en combinación con otros métodos.
Panda Shop contaría con múltiples canales de Telegram y bots interactivos para automatizar la prestación de servicios.
Como curiosidad, los ciberdelincuentes chinos se sienten más cómodos usando la mensajería instantánea de Telegram que los mensajes instantáneos chinos domésticos, como QQ o WeChat, cuando participan en actividades ilegales.
Impunidad desde China
"Los sindicatos de ciberdelincuentes chinos involucrados en el smishing son descarados porque se sienten intocables. Han enfatizado en sus comunicaciones que no les importan las agencias de aplicación de la ley de EE.UU.", comenta Resecurity en un post.
"Al residir en China, gozan de total libertad de acción y participan en muchas actividades ilegales. Según la última charla, un actor de amenazas identificado puede enviar hasta 2.000.000 de mensajes de smishing al día", añaden.
La firma de ciberseguridad estima que estos grupos pueden apuntar fácilmente hasta 60 millones de víctimas al mes o 720 millones al año, lo que daría para atacar a cada persona en EE.UU. al menos dos veces al año.