El día de hoy jueves 21 de 2019, personas reportaron que les llegó mensajes de texto tradicionales (SMS) a sus líneas telefónicas de celular, hasta el momento sólo tenemos el dato que estos mensajes llegaron a quienes poseen el servicio de telefonía con el Proveedor Entel en Bolivia.
El contenido del mensaje era el siguiente:
Como se puede apreciar, el texto del SMS contenía el siguiente link http://bit.ly/llamadaevo, respecto a este enlace en diferentes redes sociales empezaron a desinformar a la gente, indicando que el mismo se trataba de un «virus», un «malware», y demás denominativos similares, el cuál fue enviado por «jackers» o «hackers» (así lo escribieron solo repetimos las palabras usadas), y el mismo se emplearía para rastrear, para robar información del celular, la computadora, etc.
En este artículo realizaremos un análisis técnico de este enlace, y analizaremos si el mismo realiza alguna de las acciones (rastreo, robo de información u otros), desde un punto de vista de la seguridad informática, sin enforcarnos al contenido multimedia (video) del mismo.
ANALISIS
1) Análisis del enlace (URL)
La URL difundida en los SMS, era «http://bit.ly/llamadaevo», a primera vista en esta url se encuentra el dominio «bit.ly», este viene siendo un servicio de «acortador de urls o enlaces», esto suele usarse para enmascarar el enlace real, esa es su única función, dicho eso el enlace real era el siguiente
«https://www.dropbox.com/s/8f3vrklatn8z956/evo-telefono.mp4?dl=0»
Como se puede ver en la imagen, el enlace llevaba a una página en internet llamado «DropBox», este servicio es utilizado como un servicio en la nube para almacenar diferentes tipos de archivos, como en este caso, que se trataba de un video en formato MP4, cuyo nombre era «evo-telefono.mp4»
Nota: El enlace estaba activo por un cierto tiempo, luego de su difusión el mismo ahora se encuentra caído.
2) Análisis del archivo «evo-telefono.mp4»
Afortunadamente como ODIB, pudimos obtener el archivo de este enlace antes que el mismo deje de estar disponible.
A continuación los detalles del archivo:
nombre: evo-telefono.mp4
tamaño: 6,721,375 bytes
hash-md5: 4f75e95943f2740e4bfffd5ba5a2b8f4
hash-sha1: 562ee22e4a8b3bc4478b6ddbe546e4b9eafbc284
Analizando los metadatos del archivo
MIME Type: video/mp4
Major Brand: MP4 v2 [ISO 14496-14]
Duration: 0:01:03
Track Create Date : 2019:11:21 12:31:56
Track Modify Date : 2019:11:21 12:31:59
Media Create Date : 2019:11:21 12:31:56
Media Modify Date : 2019:11:21 12:31:59
Image Size: 480×480
Megapixels: 0.230
De los metadatos, hay que resaltar que este archivo fue creado el 21/11/2019 a horas 12:31:59.
Analizando el contenido en hexadecimal del archivo:
Los bytes 00 00 00 18 66 74 79 70 6D 70 34 32 (conocidos cómo magic numbers), indican que se trata efectivamente de un archivo MP4, no así de una aplicación de celular android (APK), tampoco de un archivo ejecutable (.EXE).
3) Análisis de Malware
Queda ahora revisar si el archivo «evo-telefono.mp4» contiene algun tipo de malware que pudiese estar incrustado.
Lo primero que se realizó fue una revisión con motores antivirus, con una herramienta en línea muy conocida como virustotal.com, obteniendo el siguiente resultado:
https://www.virustotal.com/gui/file/02f36b18839ae67b7c07a6c4d432218adf30d2165bd79911544ad49907d16df7/detection
Como se puede ver, ningún motor de Antivirus lo cataloga como malicioso al archivo.
Utilizando tecnologías de «SandBoxing», se realizó la emulación del archivo, obteniendo como resultado de éstas emulaciones, ningún indicio de que se ejecute algún tipo de malware por atrás (en background), tampoco se evidencia que realice conexiones a sitios maliciosos. El archivo únicamente se trata de un video MP4.
El detalle de este análisis pueden ser revisados en los siguientes enlace:
https://app.any.run/tasks/570e090e-20e1-4ee9-a92b-bcc295bef6d5
Por lo tanto con las revisiones realizadas a nivel ténico, se puede decir que el archivo «evo-telefono.mp4», no tiene indicios de ningún tipo de malware (virus, troyano, spyware, etc), tampoco descarga ninguna app .APK para android, ni tampoco descarga ningún tipo de ejecutable (.exe, .msi, .bat, etc).
4) Recomendaciones
Use el sentido común, es la recomendación más importante en estos días.
- No responder, a mensajes de números desconocidos.
- No acceda a sitios web (enlaces), que venga de una dudosa procedencia.
- No difunda mensajes, de los cuales desconozca la fuente de origen.
Ya que si bien en este caso no se trataba de un archivo malicioso, no quiere decir que otras personas realicen acciones similares y se incorpore malware real.
Si recibe mensajes similares, por medio de las redes sociales (Facebook, WhatsApp, etc), correos electrónicos, SMS u otras fuentes o dude sobre su contenido, puede reportarlo al ODIB y nosotros realizaremos el análisis corresopndiente.
Muchas gracias.
Saludos a todos.
Luis Hidalgo 
Vigilante ODIB