En las últimas horas se ha incrementado el número de afectados por la estafa de los SMS que simulan ser de la empresa FedEx. Se trata de uno de los virus troyanos más peligrosos y sofisticados en la historia de Android, con un comportamiento agresivo, capaz de controlar el dispositivo por completo.

El proceso de la estafa del paquete por recibir comienza con un SMS. El cual llega a tu teléfono, desde un teléfono español y con tu nombre. Puede llegar tanto a los dispositivos iPhone como a un Android, aunque los mecanismos que se emplean en cada sistema operativo son distintos, por lo que este malware sólo afectará a Android.

El contenido de este SMS es un texto que indica que “tenemos un paquete por recoger” y que, para hacerlo, se necesitan nuestros datos. El texto contiene un enlace que te llevará a una página web que simula la página oficial de FedEx.

En el caso de Android nos redirigirá a la interfaz que mostrará que esta web tan solo contiene un botón para descargar un archivo APK, el responsable de toda esta estafa.

En iOS no se pueden instalar archivos de terceros de forma tan sencilla, por lo que únicamente aparecerán publicidades y webs falsas que simulan un sorteo de un iPhone.

Este archivo que tiene el nombre de “FedEx.apk”, y posee un peso de entre 3,8 y 5,8 megas, según la versión que se desee instalar. La app va cambiando continuamente. En el momento que se descarga el APK, Google nos avisa de que puede ser una app maliciosa. A pesar de ello, se puede instalar en Android si se selecciona aceptar.

Antes de instalarla saltan varias alarmas. En principio, Google Play Protect nos avisa de que puede ser una app dañina. En segundo lugar, nada más abrir la app nos indica que necesita controles de accesibilidad para funcionar y, por último, pide controles completos del dispositivo. Permisos especiales que no tendría por qué pedir y que le darán control sobre nuestro móvil.

Lo primero que hace la app es mostrar un panel en el que nos indica que hay que activar el servicio de accesibilidad para usar FedEx. Si se acepta, se abrirá el menú de accesibilidad de Android.

En este punto, Android nos describe qué permite el permiso de accesibilidad. En este caso hablamos de un permiso de control total sobre el dispositivo. De hecho, literalmente el mensaje reza "¿Quieres permitir que FedEx pueda controlar totalmente tu dispositivo?". En caso de que se acepte, la aplicación será capaz de realizar dos puntos claves.

Por un lado, la app es capaz de leer todos los contenidos de la pantalla y mostrar contenidos sobre otras aplicaciones. Es decir, puede leer todas tus contraseñas, mensajes, contactos y contenido de tu teléfono.

Por último, podrá ver y realizar acciones: la app puede registrar las interacciones con el teléfono, aunque vengan de sensores de hardware, así como interactuar con otras aplicaciones en nuestro nombre.